Sinds
de Algemene verordening gegevensbescherming (AVG) van kracht is, is het
inzichtelijk en 'in controle'
hebben
van de verwerking van persoonsgegevens binnen een organisatie belangrijker dan
ooit tevoren. Duidelijke en redelijke bewaartermijnen – en een helder beleid
hieromtrent – zijn hierbij een onmisbaar onderdeel. Maar welke termijnen moeten
er nou worden gehanteerd?
Als
organisatie bent u voortvarend aan de slag geweest met de implementatie van de
AVG, hierbij is kennis en inzicht van de persoonsgegevens die binnen uw
organisatie worden verwerkt cruciaal. Op basis van artikel 30 AVG heeft u - als
het goed is - een register van verwerkingen opgesteld en heeft u uw zaakjes op
orde. In ditzelfde wetsartikel wordt u geconfronteerd met bewaartermijnen: "Indien mogelijk, de beoogde termijnen
waarbinnen de verschillende categorieën van gegevens moeten worden gewist". Hierin komt het beginsel 'opslagbeperking' uit artikel 5 lid 1 sub e AVG naar voren.
Helaas
geeft de AVG ons geen concrete bewaartermijnen. Wel kan er een andere wet van
toepassing zijn op een verwerking die wel een concrete bewaartermijn stelt, bijv.
7 jaar voor uw debiteuren- en crediteurenadministratie o.b.v.
belastingwetgeving.
Indien
er binnen uw branche een gedragscode is opgesteld en deze is goedgekeurd door
de Autoriteit Persoonsgegevens (AP), artikel 40 AVG, biedt dit een goed
handvat. Ga dus na of deze aanwezig is en of hier bewaartermijnen worden
genoemd, welke u vervolgens kunt hanteren.
Ontbreekt
het aan een (goedgekeurde) gedragscode binnen uw branche dan is het alsnog raadzaam
na te gaan wat uw concurrenten/collega’s als bewaartermijnen hanteren en hier
aansluiting bij te zoeken, mits redelijk uiteraard.
Ontbreekt
het aan een wettelijk bewaartermijn of gedragscode dan dient u de termijnen
zelf (beargumenteerd) te bepalen. Stelregel voor een bewaartermijn is dat deze
niet langer is dan noodzakelijk, met oog op het verwerkingsdoel. Ook het
beginsel 'doelbinding' uit artikel 5
lid 1 sub b AVG speelt een belangrijke rol bij het bepalen van uw
bewaartermijnen. Er moet op gelet worden dat een termijn niet onverenigbaar is
met het doel waarvoor een gegeven is verzameld.
Het
vergt enige inspanning deze termijnen in te schatten en ze moeten voor de
organisatie wel haalbaar zijn. Daarbij is het een continu proces waarbij de
termijnen in de toekomst mogelijk aangescherpt worden. Ga dus periodiek na of
alles nog klopt.
Indien
het vaststellen van een bewaartermijn van een verwerking van een (type) persoonsgegeven
niet vast te stellen is - maar ook voor een goede bedrijfsvoering - is het
raadzaam een bewaartermijnbeleid op te stellen waarin opgenomen is 'hoe' jullie
een termijn vaststellen/bepalen. Deze kan dan in toekomstige gevallen
geraadpleegd en toegepast worden.
Wees
er altijd op bedacht dat u als organisatie onder de AVG een
verantwoordingsplicht heeft, artikel 5 lid 2 AVG, om aan te geven en te
documenteren waarom u bepaalde beslissingen neemt of heeft genomen, zo ook aangaande
de bewaartermijnen.
Mocht
u na het lezen van vorenstaande nog altijd met vragen zitten? Richt u dan tot
de Functionaris Gegevensbescherming (FG) van uw
organisatie. Op grond van artikel 39 AVG is het de taak van de FG u hierover te
adviseren en toe te zien op naleving van de AVG. Uiteraard zijn wij van Maurits
& Hömann ook altijd bereid uw vragen te beantwoorden.
Belangrijk
om te weten is dat indien persoonsgegevens buiten de gestelde termijn verwerkt
worden, dit dus niet meer noodzakelijk is en als onrechtmatig aangemerkt kan
worden. In een uiterst geval kan dit leiden tot schade, welke voor vergoeding
in aanmerking komt (artikel 82 AVG). Verwijder/wis/vernietig de
persoonsgegevens in kwestie dus tijdig.
Stel
uzelf niet de vraag; "Hoe lang mogen persoonsgegevens bewaard worden?", maar; "Hoe lang hebben wij deze persoonsgegevens nodig om ons doel te bereiken?".
Maak een belangenafweging, beargumenteer uw keuzes en u zult al snel zien dat
de juiste termijnen duidelijk zullen worden.
Gelukkig heeft het hanteren van bewaartermijnen
- en deze correct naleven - ook nog een bijkomstig voordeel... Het ruimt ook
wel lekker op en zorgt voor orde binnen een organisatie.
