Wie wat bewaart, die heeft wat, zei mijn oma vroeger altijd. Maar geldt dat gezegde nog steeds in de moderne tijd: welke regels gelden voor het bewaren van persoonsgegevens? Bewaartermijnen en de AVG: vaak onterecht een ondergeschoven kindje.

 

Ondergeschoven kindje

In de praktijk zie ik dat de bewaartermijnen van de AVG van persoonlijke gegevens nogal eens een ondergeschoven kindje zijn bij de implementatie van de AVG. Vaak verdwijnen de data als ze inactief zijn in het mapje “archief”, waar ze geen aandacht meer hebben. En juist daarin schuilt het risico: vergeten persoonsgegevens zijn kwetsbaar. Het risico dat ze “op straat komen te liggen” is vele malen groter dan bij de gegevens die elke dag worden gebruikt en die daarmee constant de aandacht hebben van medewerkers en management.

 

Bewaren en de AVG

Wellicht is dit tekort aan aandacht ook te verklaren: de AVG geeft geen concrete bewaartermijnen van persoonsgegevens.

Persoonlijke gegevens mogen bewaard worden zolang als noodzakelijk voor het doel waarvoor ze verzameld zijn, zegt de AVG. In de invulling zit nogal wat rek: want wat is noodzakelijk voor het doel?

In het kader van de transparantie vraagt de AVG wel om de bewaartermijnen van de verschillende soorten gegevens vast te leggen. De AVG dwingt dus wel om na te denken en transparant te zijn over bewaartermijnen.

 

Wettelijke bewaarplicht

Voor een aantal gegevens is dat makkelijk: daarvoor geldt een zogenaamde wettelijke bewaarplicht. Een nationale wet schrijft de bewaartermijn voor. Zo moeten gegevens uit de loonadministratie 5 jaar worden bewaard en geldt voor facturen dat u die 7 jaar moet bewaren.

Daarnaast wordt voor een aantal gegevens een wettelijke indicatie gegeven wat een redelijke bewaartermijn is. Zo wordt voor gegevens van een sollicitant als redelijke bewaartermijn een maand na het einde van de sollicitatieprocedure gehanteerd en worden gegevens van een personeelslid twee jaar na uitdiensttreding vernietigd. De bewaartermijnen zijn hier richtlijnen, er kan van afgeweken worden.

 

Risico en kosten afweging

Voor de andere gegevens dient u zelf de afweging van noodzakelijkheid voor het bewaren te maken. Daarbij gaat het om risicomanagement: het afwegen van het risico en de impact dat de informatie niet meer beschikbaar is ten opzichte van de risico’s van het opslaan van grote hoeveelheden persoonlijke gegevens.

Hoe vaak gebruikt u die oude persoonsgegevens nog? En wat is het effect als u een keer “misgrijpt”.

Neem in die afweging ook de kosten van het opslaan van fysieke en digitale gegevens mee. Wat kost het u aan server of Cloud capaciteit?  Hoeveel archiefruimte of archiefkasten heeft u op kantoor?  Weegt dat allemaal op tegen die paar keer dat u de gegevens wellicht nodig heeft?

Bovendien: zijn al die digitale of fysieke archieven met data nog goed toegankelijk en doorzoekbaar? Als het nodig is, vindt u dan ook de gegevens nog?

Kortom: het bewaren van gegevens vraagt iets meer dan alleen de rechtvaardiging “we bewaren ze het voor het geval dat”.

Kijk eens kritisch naar uw archiefbeleid. De AVG dwingt u daartoe maar kan daardoor ook tot een kostenbesparing leiden.

 

Wil je meer lezen?

In mijn nieuwe boek beschrijf ik hoe organisaties  efficiënt kunnen voldoen aan de AVG en tegelijkertijd klantvertrouwen en – waarde kunnen creëren met persoonsgegevens en privacy.

Door de werkprocessen waarbij persoonsgegevens worden verwerkt als uitgangspunt te nemen en die te begrijpen en te analyseren wordt de implementatie van de AVG stukken eenvoudiger en effectiever.

Door zo te werken, draagt de privacy verantwoordelijke bij aan de innovatie van de processen in plaats van de ontwikkeling te remmen. Medewerkers worden actief betrokken waardoor minder weerstand ontstaat en een beter privacy bewustzijn wordt gecreëerd.

Met deze aanpak wordt vertrouwen bij en zelfs waarde voor de klant geleverd.

In mijn boek leg ik uit hoe je de principes van leanmanagement kunt toepassen in het privacy domein.

Wil je ook lean werken met privacy? Bestellen kan via de website:

https://deprivacyguru.nl/producten/

Gerelateerd