De Algemene Verordening Gegevensbescherming (AVG) kent normen aangaande de manier waarop organisaties om moeten gaan met persoonsgegevens, waaronder welk type gegevens hoe lang mogen worden bewaard.
Het implementeren van een robuust ‘dataretentiebeleid’ is cruciaal en de AVG-principes van opslagbeperking, minimalisatie en nauwkeurigheid spelen hierbij een essentiële rol.
Opslagbeperking: Ervoor zorgen dat persoonsgegevens niet langer dan nodig worden bewaard
Minimalisatie: Alleen de minimaal benodigde gegevens verzamelen
Nauwkeurigheid: Zorgen voor nauwkeurige, actuele en betrouwbare informatie
Met andere woorden, de verwerking van persoonsgegevens moet toereikend, ter zake dienend en beperkt zijn tot hetgeen noodzakelijk is in verband met de specifieke doeleinden van de verwerking. U mag alleen persoonsgegevens verwerken die nodig zijn voor de activiteiten van uw organisatie.
De AVG specificeert niet hoe lang ‘niet langer dan nodig’ is, dus hoe bepaalt u de bewaartermijnen voor verschillende soorten persoonsgegevens?
Noodzaak is een belangrijke factor om te bepalen hoe lang persoonsgegevens bewaard mogen worden en wordt gerelateerd aan het doel van de verwerking. Met andere woorden, de reden waarom u persoonsgegevens gebruikt en bewaart, bepaalt hoe lang u ze mag bewaren.
Bewaartermijnen hangen af van verschillende elementen, zoals de sector, het type gegevensverwerking en andere regelgevende vereisten die van toepassing zijn. In sommige omstandigheden is er echter een wettelijke bewaartermijn. Zo wordt de financiële administratie over het algemeen 7 jaar bewaard in overeenstemming met de meeste fiscaal-en civielrechtelijke bewaartermijnen.
Onder de AVG is de belangrijkste vereiste voor het bewaren van gegevens dat de gekozen duur gerechtvaardigd moet zijn en dat deze beslissing moet worden gedocumenteerd.
De documenten die u moet overleggen:
- Een dataretentiebeleid – Dit geeft een algemeen overzicht van de datamanagementpraktijken en is een breed document dat beschrijft hoe de organisatie haar gegevens beheert, hoe lang ze bepaalde soorten gegevens bewaart en wat de rollen en verantwoordelijkheden van het personeel zijn.
- Een dataretentieregeling – Dit is een meer gedetailleerd document waarin de exacte bewaartermijnen voor verschillende gegevenscategorieën worden gespecificeerd, evenals de actie die moet worden ondernomen aan het einde van de bewaartermijn.
Verwerkingsverantwoordelijken, verwerkers en subverwerkers: rollen voor het bewaren van gegevens
Een verwerkingsverantwoordelijke is in de eerste plaats verantwoordelijk voor het bepalen van de bewaartermijn voor gegevens en beslist over het doel en de middelen voor de verwerking van persoonsgegevens.
Gegevensverwerkers en subverwerkers zijn verantwoordelijk voor de verwerking van persoonsgegevens uit naam van de verwerkingsverantwoordelijke. Zij dienen de instructies van de verantwoordelijke op te volgen, met inbegrip van het naleven van de termijn voor het bewaren van gegevens, die vastgelegd dient te worden in de verwerkersovereenkomst. Hierin moet ook worden vermeld wat er met de persoonsgegevens zal gebeuren wanneer het contract beëindigd wordt.
Als u de verwerkingsverantwoordelijke bent, moet u ervoor zorgen dat u beschikt over een uitgebreid beleid en plan voor het bewaren van gegevens en moet u dit meedelen aan alle gegevensverwerkers en subverwerkers die u aangesteld hebt, zoals cloudopslagbedrijven of marketingbureaus. Als verwerkingsverantwoordelijke draagt u de primaire verantwoordelijkheid voor het naleven van de wetgeving inzake de gegevensbescherming.
Met welke uitdagingen op het vlak van gegevensbescherming worden organisaties geconfronteerd?
- De bewustwording van betrokkenen – Sinds de implementatie van de AVG, worden betrokkenen zich steeds meer bewust van hun rechten en wordt daarom de kans groter dat ze een beroep hierop doen richting uw bedrijf of organisatie. Het gaat om de rechten zoals o.a. het recht van inzage, recht van correctie, recht van verwijdering etc. Dit kan een beslag leggen op de structuur voor gegevensopslag van een organisatie, omdat die zodanig uitgerust dient te zijn dat een beroep op een recht van betrokkenen efficiënt behandeld en beantwoord kan worden binnen de wettelijk verplicht termijn.
- Gegevensvolume – Het kan moeilijk zijn om de enorme hoeveelheden gegevens te beheren die dagelijks ingezameld worden via verschillende kanalen, zoals e-mail, sociale media, websites en webwinkels. Om nog maar te zwijgen over papieren archiefstukken, die een grote organisatorische uitdaging kunnen vormen voor bedrijven.
- Te lange bewaring – Zonder specifieke regels over termijnen, kunnen organisaties gegevens vaak te lang bewaren. Dat kan de operationele kosten voor de opslag, back-up en voor het terugvinden ervan verhogen. Er is ook een groter risico op reputatieschade als er zich een cyberaanval of inbreuk zou voordoen. Dit kan potentieel leiden tot corrigerende maatregelen door de toezichthouder.
- Het wijzigende wettelijk kader – Tussen februari 2021 en mei 2023 zijn er 17 bijkomende landen die wetten inzake gegevensbescherming aangenomen hebben, wat het totaal wereldwijd op 162 brengt. Ten minste 20 andere landen hebben op dit ogenblik wetsvoorstellen ingediend, waaronder Nigeria en Pakistan. Hoewel deze allemaal beïnvloed worden door de AVG, verschilt de internationale wetgeving sterk en is deskundige kennis noodzakelijk om de naleving ervan te garanderen. Bovendien zijn er ook updates van bestaande wetten. Internationale organisaties kunnen het er lastig mee hebben om deze wijzigingen bij te houden, vooral bij het verwerken en opslaan van persoonsgegeven over verschillende rechtsgebieden heen.
Voorstel voor oplossingen voor deze uitdagingen:
- Gegevensvolume – Om steeds grotere volumes van persoonsgegevens te verwerken, moeten gegevensbeperkende maatregelen toegepast worden en mag enkel het strikt noodzakelijke verzameld worden. Een praktische tip is om een gegevensaudit uit te voeren. Dit houdt in dat u nagaat welke soorten persoonsgegevens verzameld worden door uw organisatie en dat geïdentificeerd wordt wat noodzakelijk is. Een webshop verzamelt bijvoorbeeld namen, adressen en betalingsgegevens voor de afhandeling van bestellingen. De winkel verzamelt echter ook geboortedata en de burgerlijke staat. Dit kan, afhankelijk van het soort verkochte producten, als buitensporig beschouwd worden en een inbreuk vormen op het beginsel van gegevensbeperking van de AVG.
Oplossing – Een gegevensaudit uitvoeren en gegevensbeperkende maatregelen implementeren - Te lange bewaring – Om te voorkomen dat informatie te lang bewaard wordt, is het belangrijk om een duidelijk plan te hebben voor gegevensopslag. Er kan gebruik gemaakt worden van geautomatiseerde tools om het plan te beheren en geanonimiseerde gegevens die niet meer noodzakelijk zijn te verwijderen. Werknemers moeten zich ook bewust zijn van het beleid en de plannen voor het bewaren van gegevens, zodat ze begrijpen wat ze met de gegevens moeten doen.
Oplossing – Een duidelijk plan voor gegevensopslag implementeren - Het wijzigende wettelijk kader – Op de hoogte blijven van de laatste wetgeving inzake gegevensbescherming door advies te vragen aan een ervaren Functionaris Gegevensbescherming (FG). Een toegewijde FG zal uw beleid en plannen voor het bewaren van gegevens regelmatig herzien en bijwerken en ervoor zorgen dat deze voldoen aan de laatste regelgeving.
Oplossing – Een toegewijde FG inhuren
Best practices voor gegevensopslag
Een doeltreffend beheer van persoonsgegevens kan helpen om risico’s te beperken en om de wetgeving inzake gegevensbescherming te blijven naleven.
Hier zijn enkele handige tips voor uw strategie voor gegevensopslag:
- Voer een gegevensaudit uit
- Verzamel en verwerk enkel de gegevens die noodzakelijk zijn voor uw doeleinden
- Implementeer een beleid voor gegevensopslag en een plan voor elk type verzamelde gegevens
- Als gegevens langer of korter bewaard worden dan het bewaarplan, dient de reden hiervoor te worden gedocumenteerd
- Evalueer de verwerkingsactiviteiten op regelmatige basis en voeg indien van toepassing nieuwe toe aan het plan
- Leid het personeel op met betrekking tot de vereisten voor het beleid en plan, zorg voor bewustzijn van de operationele vereisten voordat gegevens verwijderd worden, met het besef dat het te snel verwijderen van gegevens ook als een inbreuk beschouwd kan worden.
- Wanneer het aan te raden is om oudere gegevens te archiveren, kan dit in elektronisch formaat gedaan worden en in een afzonderlijke elektronische folder opgeslagen worden, die correct gelabeld is als een folder die archiefmateriaal bevat.
- Papieren archiefstukken moeten geïndexeerd worden en zodra de termijn bereikt is, moeten ze veilig vernietigd worden, door middel van een dienstverlener voor vertrouwelijk afval of een papierversnipperaar.
Zie ook het sjabloon voor het Bewaarbeleid in onze gratis downloadbare AVG Toolkit
Samenvatting
Voor bedrijven zijn er verschillende uitdagingen verbonden aan het bewaren van gegevens en het naleven van de AVG. De sleutel is om de doelstelling van de organisatie om persoonsgegevens te verzamelen te kennen en deze doelstelling af te stemmen op de principes voor gegevensbeperking, opslagbeperking en nauwkeurigheid.
Documentatie is essentieel voor het naleven van de AVG en een uitgebreid beleid en plan voor gegevensopslag zijn vereist. Het is echter belangrijk om te onthouden dat een doeltreffend gegevensbeheer niet enkel betrekking heeft op deze naleving.
Individuen zijn eerder geneigd om in zee te gaan met organisaties waarvan ze erop kunnen vertrouwen dat deze op verantwoorde wijze omgaan met hun persoonsgegevens. Investeren in robuust gegevensbeheer en tegelijkertijd over een goed gedefinieerd plan voor gegevensopslag beschikken is een win-winsituatie, zowel met betrekking tot de naleving, als voor de klanttevredenheid.
Het DPO Centre heeft een van de grootste teams van FG’s en werkt met meer dan 850 organisaties over alle industriesectoren heen.
Neem contact met ons op door het onderstaande formulier in te vullen als u hulp nodig hebt bij het naleven van de AVG-wetgeving of als u overweegt om uw gegevensbescherming uit te besteden.
Volg het DPO Centre op LinkedIn voor meer nieuws en inzichten in gegevensbescherming
