25mrt, 18
VANDIJK advocaten - De Algemene Verordening Gegevensbescherming/General Data Protection Regulation : Bewaartermijnen (deel 6) (Mr. Ynke M.M. Ooykaas)

In de reeks artikel over de AVG/GDPR zijn al aan de orde gekomen het doel, de achtergrond, de definitie van persoonsgegevens en het gebruik, de expliciete toestemming die nodig is voor het verwerken van persoonsgegevens, de andere gronden op basis waarvan u persoonsgegevens mag gebruiken en de bijzondere persoonsgegevens. In dit artikel gaat het over bewaartermijnen. Hoe lang moet dan wel mag u gegevens bewaren? En wat moet u doen als u besluit de gegevens niet meer te bewaren.

De AVG geeft geen termijn. De AVG eist dat de verwerker van persoonsgegevens, deze gelet op het beoogde gebruik van de persoonsgegevens, een concrete termijn noemt voor verwijdering of toetsing of gegevens verwijderd kunnen worden. Die termijn hoeft niet in weken, maanden of jaren te worden uitgedrukt.  ‘Zo lang als nodig is voor het leveren van onze diensten’ is een voldoende omschrijving, maar er moet wel een duidelijk vast te stellen eindmoment zijn. Het gaat dan om het bewaren van persoonsgegevens. Gegevens die geanonimiseerd zijn en dus niet meer terug te leiden op een natuurlijk persoon, mogen langer bewaard worden.

Er is een veel wetgeving die wel specifieke bewaartermijnen voorschrijft: fiscale administratieplicht – 7 jaar, medische behandelovereenkomst – 15 jaar, gegevens werknemer voor LB – 5 jaar na einde dienstverband, gegevens over werken met gevaarlijke stoffen – 3 tot 43 jaar na datum blootstelling etc.

Op basis van de AVG mogen persoonsgegevens verzameld en bewaard worden, maar u moet voor ieder afzonderlijk gegeven duidelijk maken waarvoor u het vraagt en wat u ermee gaat doen. En wanneer datgene waarvoor u het wilde gebruiken, voorbij is, moet u zich afvragen wat er dan mee moet gebeuren. Wanneer u gegevens verzamelt voor een juridische bijeenkomst, dan zouden die  gegevens na die bijeenkomst verwijderd moeten worden. Wanneer u vindt het fijn vindt de gegevens te behouden om de deelnemers op de hoogte te kunnen stellen van een volgend evenement, moet dat  wel in de doelomschrijving staan.

Kortom, u moet voor  uzelf regels vaststellen die u hanteert bij het verzamelen, hebben, houden en vernietigen van persoonsgegevens (‘lifecycle management”).  Gedurende die periode moet u er voor zorgen dat de gegevens correct blijven en u het mogelijk moet maken de gegevens te (laten) verwijderen wanneer de toestemming tot gebruik wordt ingetrokken.

Het is lastig een termijn vast te stellen. Om u een idee te geven hoe toch tot een termijn vast te leggen, kunnen de basisvragen van wie, wat, wanneer, hoe en vooral waarom goede diensten doen:

  • Van wie slaat u persoonsgegevens op (kunt u die persoon op de hoogte brengen en houden van al zijn rechten);
  • Wie slaat de persoonsgegevens op;
  • Wat is het doel van het opvragen van persoonsgegevens;
  • Wanneer vraagt u persoonsgegevens’
  • Waarom slaat u de gegevens op;
  • Hoe bewaart u persoonsgegevens en hoe zorgt u ervoor dat de gegevens tijdens de bewaarperiode actueel blijven;
  • Hoe lang bewaart u de persoonsgegevens;
  • Zijn er wettelijke voorschriften waarmee u rekening moet houden;
  • Is het wenselijk/mogelijk de gegevens geanonimiseerd te bewaren.

In de praktijk is het lastig om persoonsgegevens goed en geheel te verwijderen. Gegevens staan vaak op meerdere plaatsen opgeslagen (in mailbestanden, back-up bestanden, bij de accountant, de printer etc.). Ook worden gegevens – in een poging om de bedrijfsvoering te digitaliseren – gescand en opgeslagen. Maar hoe komt u dan ooit nog bij de persoonsgegevens die in die formulieren vermeld staan? Hoe bewaart of verwijdert u die?

Het zijn lastige vragen die op dit moment lastig te beoordelen zijn. De ideale oplossing is om bij het bouwen van systemen al deze vragen af te lopen en daar een antwoord voor te vinden. Voor bestaande systemen zal u moeten kijken hoe u de praktijk zo veel mogelijk AVG-proof kunt maken.

mr. Ynke M.M. Ooykaas

Meer informatie? Neem contact met ons op!