Privacy en bewaartermijnen


Wat is de bewaartermijn voor persoonsgegevens

Een van de basisregels in de AVG is dat persoonsgegevens niet langer mogen worden bewaard in een vorm die het mogelijke maakt de betrokkene te identificeren, dan noodzakelijjk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of verwerkt;

Ook hier is sprake van een open norm: u kunt zelf bepalen hoe lang de bewaartermijn is, aan de hand van het doel waarvoor u de gegevens heeft verzameld of het doel waarvoor u de gegeven gebruikt;

Let op: bij het invullen van dit kader kunt u niet zomaar een doel verzinnen waarvoor de gegevens worden gebruikt om zo de bewaartermijn te verlengen.

Het doel van verzamelen of verwerken is dus bepalend. Het verwerken van gegevens mag alleen gebeuren voor vooraf bepaalde doeleinden (en op basis van een van de 6 wettelijke grondslagen). Gegevens gebruiken voor iets anders dan vooraf bepaald is, mag alleen wel weer als sprake is van “verenigbare doeleinden”. Of sprake is van doelbinding, hangt weer van vele aspecten af. Over het algemeen kan worden gezegd dat als de betreffende persoon niet vreemd op kijkt als blijkt dat zijn gegevens ergens voor worden gebruikt, dat dan sprake is van verenigbare doeleinden. Zo, zal een klant vaak wel verwachten dat er hij nog een mail voor een klanttevredenheidsonderzoek ontvangt. Of een nieuwsbrief (let op: spam-wetgeving) vooral als hij hierover geÏnformeerd is.

Let op: het kader wordt ook bepaald door de vorm waarin u de gegevens bewaard. Gegevens waardoor de persoon in kwestie nog kan worden geindentificeerd mag niet onbeperkt. Het bewaren van gegevens over aankopen, bezoekersaantallen, postcodegebieden van de woonplaats van kopers of bezoekers mag dus wel langer mits hieruit maar geen personen kunnen worden herleid.

Factoren die u kunt laten meewegen bij het bepalen van een bewaartermijn: garantieperiodes, betaaltermijnen, afgesproken klantcontact, oprichten van alumnigroepen, specifieke product gebonden service. Met name weegt u andere wettelijke verplichtingen mee bij het bepalen van de bewaartermijn (zie ook hierna).

 

Bewaartermijn en omvang van de gegevensverzameling

Zoals zojuist al kort is gemeld, heeft de bewaartermijn alleen betrekking op gegevens waaruit kan worden afgeleid om welke persoon het gaat;

Let op: in feite gaat dit criterium dus over de vraag of u nog persoonsgegevens volgens de wettelijke definitie bewaard, namelijk of het gegevens zijn waarmee de betrokkene is te identificeren. De toezichthouder (Autoriteit Persoonsgegevens) heefteen redelijke interpretatie als het om de definitie van persoonsgegevens gaat. Zo is in 2015 zelfs geoordeeld dat bij wifi-tracking de MAC-gegevens van een mobiele telefoon – door de combinatie met andere gegevens die werden opgeslagen – toch een persoonsgegeven is. De nieuwe Europese Algemene Verordening Persoonsgegevens geeft ook een ruimere definitie van het begrip persoonsgegeven;

Let op: hieruit volgt dat ook indien u een gedeelte van de gegevens verwijdert, de kans bestaat dat de toezichthouder toch oordeelt dat u persoonsgegevens heeft en (te lang) bewaard;

Dit neemt niet weg dat u er altijd goed aan doet om die gegevens die écht niet meer nodig zijn, weg te gooien, te vernietigen of separaat te archiveren.

 

Na het einde van de bewaartermijn

Na het einde van de bewaartermijn mogen in ieder geval geen gegevens meer worden bewaard waardoor de persoon in kwestie kan worden geïndentificeerd;

Dit betekent niet persé dat alle gegevens moeten worden weggegooid of vernietigd; Het verwijderen uit de betreffende actieve administratie is voldoende;

Het verwijderen kan gebeuren door het opslaan van de te verwijderen gegevens in een archief, een harde schijf of door deze onleesbaar te maken. U zult hierbij wel na moeten gaan wie er na deze vorm van verwijderen nog toegang heeft tot de gegevens. Het beste is om bijvoorbeeld een “golden key” in te stellen, waardoor slechts 1 of 2 personen toegang hebben tot de verwijderde gegevens.

Indien u er voor kiest om bijvoorbeeld papieren dossierste vernietigen, dan zult u dit zorgvuldig moeten doen. Staan er gevoelige gegevens in een dossier dan kunt u niet volstaan met de dossiers in de prullebak te gooien. U zult dan wel een gespecialiseerd papiervernietigingsbedrijf moeten ingeschakelen. Overigens is niet op ieder verzameling van papieren dossiers de AVG van toepassing. Echter, kan de hier omschreven handelswijze ook uit uw algemene zorgplicht voortvloeien.

 

Bewaartermijnen in andere wetgeving

De AVG bevat een bewaartermijn die u in grote mate zelf kunt bepalen;

Er kan ook andere wetgeving van toepassing zijn waaruit concrete bewaartermijnen voortvloeien.

Bijvoorbeeld:

Voor een administratie of een organisatie kunnen verschillende bewaartermijnen gelden. U zult dus per verplichting moeten beoordelen welke gegevens u hiervoor dient te bewaren. U kunt niet met succes tegen een belastinginspecteur zeggen dat u volgens de AVG gegevens moest vernietigen. U dient aan alle bewaartermijnen tegelijkertijd te voldoen, bijvoorbeeld door verschillende archieven te maken.

 

Specifieke bewaartermijnen en uitzonderingen

De AVG geeft een uitzondering in artikel 5 lid 1 sub e AVG én in artikel 89 AVG. Hierin staat dat gegevens langer mogen worden bewaard als dit voor historische, statistische of wetenschappelijke doeleinden gebeurt. Maar dan moeten er wel voorzieningen worden getroffen om te verzekeren dat de gegevens echt alleen voor die uitzonderingsdoeleinden worden gebruikt. Hierbij moet u denken aan extra beveiliging en toekennen van toegangsrechten tot deze uitgezonderde verzamelingen. Indien u dus klantgegevens bewaart voor statische doeleinden dan dient dit tenminste in een aparte beperkt toegankelijke database te gebeuren. Waarbij het natuurlijk wel de vraag is hoeveel klantgegevens (en welke) u nodig heeft voor dit statische doel.

 

Geen van de informatie op deze pagina is bedoeld als juridisch advies en hieraan kunnen geen rechten worden ontleend.

Bron: privacy-advocaat.nl