De AVG in Beeld: bewaring en archivering

In de blogserie “De AVG in Beeld” zullen wij met het oog op onze PrivacyProof®-methodiek de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog beschrijven we aan de hand van een aantal praktijkvoorbeelden, de wettelijke vereisten en geven we een aantal praktische handvaten over het hamsteren van persoonsgegevens.

Wij krijgen de afgelopen maanden veel vragen over het opstellen van archiveringsdoelen en het bepalen van een bewaartermijn. Kort gezegd, heeft iedere branche of onderneming een wettelijke of contractuele bewaartermijn. Maar hoe beheert u netjes de archivering- en bewaartermijnen?

Het Juridisch kader

We beginnen eerst met een juridische uitleg over art. 5 lid 1 sub e AVG. Deze bepaling wordt ook wel de opslagbeperking genoemd en bestaat eigenlijk uit twee delen. Het eerste deel gaat over het bewaren van persoonsgegevens: ‘Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

Het tweede deel van artikel 5 lid 1 sub e AVG beschrijft de opslagtermijn in combinatie met het opslagdoel: ‘persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de vrijheden van de betrokkene te beschermen.’’

 

4 verkeersregels bij het bewaren van persoonsgegevens

Uit dit wetsartikel volgen vier verkeersregels voor het bewaren van persoonsgegevens.  Als u deze regels opvolgt, bewaart u uw persoonsgegevens conform de AVG.

  • De periode dat u de gegevens nodig hebt (noodzakelijkheidsbeginsel) is de gebruiksfase. In deze fase worden persoonsgegevens nog niet bewaard of gearchiveerd. Op dat moment verwerkt u de persoonsgegevens voor het bereiken van uw verwerkingsdoel(en). (Groen licht)
  • In de periode dat u de persoonsgegevens misschien nog nodig hebt, begint de archiveringsfase. In deze fase bewaart u gegevens om administratieve redenen of wettelijke voorschriften bewaard. (Oranje licht)
  • In de periode dat u de persoonsgegevens archiveert, begint de archiveringsfase. In deze fase bewaart u de gegevens om administratieve redenen of wettelijk voorschrift. (Oranje licht)
  • Mocht u de persoonsgegevens op geen enkele manier (meer) nodig hebben, dan moet u ervoor zorgen dat u ze niet langer bewaart, tenminste: niet in de vorm van persoonsgegevens. Dat kunt u bereiken door de gegevens te wissen, te vernietigen, dan wel door ze te anonimiseren. (Rood licht)

Bepalen van de bewaartermijn

Uit het juridisch kader volgt dus geen harde bewaartermijn. U mag dus de duur van een bewaartermijn zelf bepalen, tenzij uit andere bronnen een maximale bewaartermijn volgt. Bij het bepalen van een bewaartermijn dient u een belangenafweging tussen het verwerkingsdoel en een mogelijk gevolg voor de betrokkene te maken. Naarmate de negatieve gevolgen voor de betrokkene groter kunnen zijn, zult u de noodzaak van het toch bewaren van de gegevens beter moeten kunnen onderbouwen. Door de volgende vijf vragen langs te lopen heeft u enerzijds de mogelijkheid om een termijn te stellen, anderzijds om de belangen van de betrokkene(n) nader af te wegen:

  • Hoe lang heeft u de gegevens daadwerkelijk nodig?
  • Welke gegevens heeft u daadwerkelijk nodig?
  • Kunnen er passende organisatorische en technische methodieken kunnen worden toegepast?
  • Wat zijn de gevolgen[i] voor de betrokkene als een datalek zich voordoet?
  • Wat is de impact voor zijn persoonlijke levenssfeer?

Als u deze vragen heeft beantwoord, kunt u een redelijke bewaartermijn, archiveringstermijn en uiterste vernietigingsdatum stellen. Ter verduidelijking van deze regels hebben we in de volgende alinea’s vier praktijkvoorbeelden uiteengezet.

 

Enkele praktijkvoorbeelden:

  1. De fiscale verplichtingen bij het bijhouden van administratie van debiteuren en crediteuren[ii] en klanten of afnemers.[iii]
    In beginsel dient u de gegevens zeven jaar na de ontvangst of afboeking van de financiën nog in het bezit te hebben. Er zijn echter een aantal uitzonderingen op deze regel zoals: BSN, betaalgedrag, polisnummers, gehele administratie rondom het betalen van facturen en gegevens over de Wet schuldsanering natuurlijke personen (Wsnp)[iv]. Deze gegevens kunt u slechts een beperkte tijd bewaren. Gelet op de situatie dient u dit nader in te schatten.
  2. Werknemers en Werkgevers
    In de arbeidsrelatie heeft u te maken met een aantal specifieke bepalingen uit de verschillende belastingwetten en arbeidsrecht. De basisgegevens zoals NAW, geboortedatum, BSN en een kopie van het identiteitsbewijs kunt u maximaal zo’n vijf jaar[v] na het einde van het kalenderjaar van uitdiensttreding bewaren. De fiscale gegevens zoals woon-werkverkeer, secundaire arbeidsvoorwaarden of de verklaring woon-werkverkeer dient u minimaal zeven jaar te bewaren.Voor persoonsgegevens over de arbeidsovereenkomst of wijzigingen, correspondentie benoemingen, promotie en demotie, correspondentie ontslag, VUT-regeling, kopieën van het getuigschrift, verslagen functioneringsgesprekken of omtrent Wet Verbetering Poortwachter, correspondentie over ziekte van UWV en bedrijfsarts, verslagen van financiële problemen, verslagen rondom probleemsituaties enz. geldt een bewaartermijn van maximaal twee jaar na beëindiging van het dienstverband[vi].
  3. Sollicitatiegesprekken
    Gegevens die gedurende de sollicitatieprocedure zijn verkregen, dient u in beginsel binnen vier weken te wissen. Indien de sollicitant heeft ingestemd met het bewaren van een sollicitatiebrief, CV of andere gegevens, kunt u deze gegevens maximaal één jaar bewaren[vii].
  4. Camerabeelden
    Over het bewaren van camerabeelden heeft de Autoriteit Persoonsgegevens een richtlijn opgesteld. Uit de richtlijn volgt dat camerabeelden tot maximaal 4 weken kunnen worden bewaard[viii], tenzij een bepaald incident is vastgelegd, zoals een strafbaar feit of een verzekeringskwestie. Dan mag de organisatie de beelden bewaren totdat het incident is afgehandeld.

 

In een aantal gevallen werkt het lang bewaren van persoonsgegevens nogal onpraktisch. Sommige gegevens kunt u gewoon niet te lang opslaan, zoals camerabeelden of dossiers. Harde schijven en servers kunnen op een gegeven moment vol raken. De gegevens moet je  om de zoveel tijd wissen, zodat de camera’s functioneel kunnen blijven.

Voor dossiervorming geldt dezelfde redenering. Dossierkasten zullen uitpuilen en een dossier is daardoor moeilijker terug te vinden. Werkt u met een digitaal dossiermanagementsysteem? Dan heeft u geluk! De meeste systemen hebben veel termijnen geautomatiseerd. Is dit niet het geval? Dan zult u uw geautomatiseerde systemen en dossiers handmatig moeten controleren op de vastgestelde bewaartermijnen. Het verrichten van een Privacy Impact Assessment op uw archiveringsprocessen kan uitkomst bieden om de bewaartermijnen nader vast te stellen.

 

Conclusie

De AVG beschrijft in art. 5 lid 1 sub e in twee delen wat het juridisch kader voor bewaartermijnen inhoudt. Uit dit wetsartikel volgen vier verkeersregels die een helder kader schetsen. Als het licht op groen staat, kunt u gegevens verwerken. Staat het licht op oranje, kunt u de gegevens archiveren. Als de gegevens geen doel meer treffen, dient u de gegevens te verwijderen. Vanaf dat moment staat het licht op rood. Uw persoonsgegevens mogen dan niet meer aan een specifieke betrokkene(n) gekoppeld kunnen worden.

Als u persoonsgegevens wil bewaren, dan heeft u in beginsel zelf het recht om een bewaartermijn te bepalen, tenzij de verwerking de belangen van de betrokkene(n) schaadt. Dit zijn belangen die de persoon in kwestie enorm kunnen beschadigen. Ten slotte kunnen wettelijke termijnen ook een rol spelen. Nadat de wettelijke termijn is verstreken, treffen de persoonsgegevens geen doel (meer). U kunt vanaf dat moment de persoonsgegevens anonimiseren of wissen.

 

Heeft u nog vragen over bewaartermijnen? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u nog meer over de AVG-vereisten te weten komen en geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

 

[i] O.a. ECLI:NL:HR:2011:BQ8097 bepaalt dat de gevolgen voor de betrokken ook ver in de toekomst zijn gelegen.
[ii] https://www.belastingdienst.nl/wps/wcm/connect/nl/ondernemers/content/hoelang-moet-ik-de-administratie-van-mijn-onderneming-bewaren
[iii] https://www.belastingdienst.nl/wps/wcm/connect/nl/ondernemers/content/hoelang-moet-ik-de-administratie-van-mijn-onderneming-bewaren
[iv] Bij ontstaan van ‘schone lei’ is het moment van schone lei leidend.
[v] Artikel 7 Vrijstellingsbesluit Wbp
[vi] Zie artikelen 7 Vrijstellingsbesluit Wbp en 52 Wet Rijksbelastingen.
[vii] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-uitkering/sollicitaties
[viii] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/cameratoezicht/melden-van-cameratoezicht

1 reactie

  1. HV schreef:

    Ik heb een vraag over de bewaartermijn en de manier van bewaren. Het gaat hierbij om e-mails.
    De organisatie waarvoor ik werk maakt gebruik van een beveiligde (versleutelde) e-mail. In de mailbox staan alle mails van de afgelopen jaren. De mails bevatten cliëntgebonden informatie. Ik werk als ondersteuner van minderjarige cliënten. De cliënten verblijven gemiddeld 2 jaar bij ons, gedurende die tijd is het handig om mails te bewaren. Ik heb de informatie uit de mails nodig voor mijn werkzaamheden. Dit kunnen mails van advocaten zijn, school, gemeente en andere instanties.

    Ook nadat cliënten weg zijn is het soms handig om nog informatie te hebben. Als er op een oud adres bijv. nog een brief bezorgd wordt is het goed om de oud-cliënt te kunnen bellen/mailen. Het is ook gebeurd dat cliënten zelf informatie kwijt waren en dit later kwamen opvragen bij mij.

    Vragen:
    – Wat is concreet een termijn dat ik informatie/mails mag bewaren? (of kan de organisatie dit zelf bepalen, door dit duidelijk de omschrijven. Zoals art 13 lid 2 sub a AVG dit omschrijft?)
    – Mag ik mails ook nog bewaren nadat de hulpverlening is gestopt?
    – Kan ik e-mails bewaren in mijn inbox?
    – Moet ik de e-mails die ik wil bewaren anonimiseren?
    – Zo, ja moet ik ook e-mails van voor 25 mei 2018 anonimiseren?

    Overigens alle cliënten hebben een verklaring ondertekend waarin zij en hun wettelijk vertegenwoordiger toestemming geven voor; – Uitwisselen van gegevens (zowel mondeling als schriftelijk)
    – Digitaal versturen van gegevens
    – Bewaren van gegevens indien dit noodzakelijk is voor goede hulpverlening

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *