Er worden ontzettend veel persoonsgegevens bewaard in een bedrijf. Het meest voorkomende argument wat ik altijd hoor is hoe eng het is om gegevens weg te gooien. Stel dat je het nog een keer nodig hebt in de toekomst?
Realiseer je echter wel dat de AVG data minimalisatie voorschrijft (art. 5): de gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat nodig is voor het doel waarvoor ze zijn verzameld. Helaas zijn er geen bewaartermijnen gespecificeerd, althans niet in de AVG zelf.
Als bedrijf moet je dan maar zelf bedenken hoe lang de gegevens nodig zijn voor het doel waarvoor ze verzameld zijn. Dit is lang niet altijd even makkelijk, dat weet ik, zeker niet als het om bv. klantgegevens gaat. Er zijn echter wel wat voorschriften in de wet en aanknopingspunten in de praktijk.
Overzicht bewaartermijnen
Hierbij zet ik nog even kort wat toepasselijke termijnen per categorie op een rijtje (let op: niet uitputtend), wellicht biedt het wat houvast:
Sollicitanten
Hiervoor geldt dat de sollicitatiegegevens (en alle daarbij behorende documenten, correspondentie en assessments) uiterlijk 4 weken na afwijzing van de sollicitant moeten worden verwijderd. Middels toestemming kunnen de gegevens tot een termijn van maximaal 1 jaar na het einde van de sollicitatieprocedure bewaard worden.
Werknemers
Bij uitdiensttreding zullen er nog heel wat persoonsgegevens bewaard dienen te worden voor een bepaalde termijn.
Voor de volgende gegevens geldt een bewaartermijn van 7 jaar einde dienstverband:
- Fiscale gegevens zoals:
- Gegevens loonadministratie
- salarisadministratie
- secundaire arbeidsvoorwaarden en pensioen
- Arbeidsvoorwaarden partner
- Afstandsverklaring woon-werk, pensioen etc.
De volgende gegevens hebben een bewaartermijn van 5 jaar na het einde van het dienstverband:
- Kopie van identiteitsbewijzen en loonbelastingverklaringen.
Voor (niet limitatieve opsomming van de) volgende gegevens geldt een richtlijn van maximum 2 jaar na beëindiging van het dienstverband:
- Arbeidsovereenkomst en wijzigingen ervan,
- correspondentie aangaande benoemingen, promotie en demotie,
- correspondentie aangaande ontslag,
- Pensioeninformatie/ VUT-regelingen,
- kopieën van het getuigschrift,
- verslagen van functioneringsgesprekken of omtrent Wet Verbetering Poortwachter,
- verslagen van financiële problemen,
- verslagen rondom probleemsituaties, enz.
Camerabeelden
Worden er camerabeelden van een openbare ruimte, het bedrijventerrein of de winkel bewaard, dan mag dit voor 4 weken. Alleen als er een incident gefilmd is (bv. diefstal), dan mogen de beelden bewaard worden totdat het incident is afgehandeld.
Klanten
Denk hierbij aan de persoonsgegevens nodig voor het verwerken van een order of om nieuwsbrieven uit te sturen. Het hangt er erg vanaf welke gegevens in welke bedrijfssystemen worden bewaard en wat het doel ervan is. Vaak is dit dus bedrijfsafhankelijk.
De verschillende stromen gegevens dienen geïdentificeerd te worden en gekoppeld aan het doel waarvoor ze gebruikt worden. Dan kan er een bewaartermijn per stroom bedacht worden. Dit geldt steeds voor ieder nieuw systeem dat wordt aangekocht.
Voor de debiteuren- en crediteurenadministratie geldt de fiscale bewaarplicht van 7 jaar. Is er sprake van een (wettelijk) garantietermijn, dan kunnen de persoonsgegevens gekoppeld worden aan de aankoopdatum en de afloop van de garantie.
Indien de klantgegevens geanonimiseerd worden, dan kunnen ze wel langer bewaard worden.
Privacy by design
In de systemen kunnen meldingen worden ingebouwd, zodat er automatisch een bericht gegeneerd wordt wanneer de bewaartermijn afloopt. Dit impliceert dat er handmatig gegevens verwijderd moeten worden en dit kan in tijden van drukte vergeten of genegeerd worden. Beter is om aan het einde van een bewaartermijn de gegevens automatisch te laten verwijderen.
Conclusie
Identificeer de gegevensstromen en koppel er bewaartermijnen aan. Leg deze bewaartermijnen vervolgens vast in een intern document en in het register, als dat er is. Zorg ervoor dat aan het einde van ieder bewaartermijn de gegevens verwijderd worden. Met verwijdering wordt daadwerkelijk bedoeld vernietiging van die persoonsgegevens: geen verplaatsing of archivering!
Het is waardevol ieder jaar opnieuw opnieuw te controleren of er opgeschoond is of moet worden. Alleen zo hou je de hoeveelheid persoonsgegevens in je bedrijf onder controle.
Add comment
Comments