Bewaartermijnen en de AVG: wie wat bewaart…

//Bewaartermijnen en de AVG: wie wat bewaart…

……die heeft wat, zei mijn oma vroeger altijd. Maar geldt dat gezegde nog steeds in de moderne AVG tijd?

Ondergeschoven kindje

In de praktijk zie ik dat de bewaartermijnen van persoonlijke gegevens nogal eens een ondergeschoven kindje zijn bij de implementatie van de AVG. Vaak verdwijnen de data als ze inactief zijn in het mapje “archief”, waar ze geen aandacht meer hebben. En juist daarin schuilt het risico: vergeten persoonsgegevens zijn kwetsbaar. Het risico dat ze “op straat komen te liggen” is vele malen groter dan bij de gegevens die elke dag worden gebruikt en die daarmee constant de aandacht hebben van medewerkers en management.

Bewaren en de AVG

Wellicht is dit tekort aan aandacht ook te verklaren: de AVG geeft geen concrete bewaartermijnen van persoonsgegevens.

Persoonlijke gegevens mogen bewaard worden zolang als noodzakelijk voor het doel waarvoor ze verzameld zijn, zegt de AVG. In de invulling zit nogal wat rek: want wat is noodzakelijk voor het doel?

In het kader van de transparantie vraagt de AVG wel om de bewaartermijnen van de verschillende soorten gegevens vast te leggen. De AVG dwingt dus wel om na te denken en transparant te zijn over bewaartermijnen.

Wettelijke bewaarplicht

Voor een aantal gegevens is dat makkelijk: daarvoor geldt een zogenaamde wettelijke bewaarplicht. Een nationale wet schrijft de bewaartermijn voor. Zo moeten gegevens uit de loonadministratie 5 jaar worden bewaard en geldt voor facturen dat u die 7 jaar moet bewaren.

Daarnaast wordt voor een aantal gegevens een wettelijke indicatie gegeven wat een redelijke bewaartermijn is. Zo wordt voor gegevens van een sollicitant als redelijke bewaartermijn een maand na het einde van de sollicitatieprocedure gehanteerd en worden gegevens van een personeelslid twee jaar na uitdiensttreding vernietigd. De bewaartermijnen zijn hier richtlijnen, er kan van afgeweken worden.

Risico en kosten afweging

Voor de andere gegevens dient u zelf de afweging van noodzakelijkheid voor het bewaren te maken. Daarbij gaat het om risicomanagement: het afwegen van het risico en de impact dat de informatie niet meer beschikbaar is ten opzichte van de risico’s van het opslaan van grote hoeveelheden persoonlijke gegevens.

Hoe vaak gebruikt u die oude persoonsgegevens nog? En wat is het effect als u een keer “misgrijpt”.

Neem in die afweging ook de kosten van het opslaan van fysieke en digitale gegevens mee. Wat kost het u aan server of cloud capaciteit?  Hoeveel archiefruimte of archiefkasten heeft u op kantoor?  Weegt dat allemaal op tegen die paar keer dat u de gegevens wellicht nodig heeft?

Bovendien: zijn al die digitale of fysieke archieven met data nog goed toegankelijk en doorzoekbaar? Als het nodig is, vindt u dan ook de gegevens nog?

Kortom: het bewaren van gegevens vraagt iets meer dan alleen de rechtvaardiging “ we bewaren ze het voor het geval dat”.

Kijk eens kritisch naar uw archiefbeleid. De AVG dwingt u daartoe maar kan daardoor ook tot een kostenbesparing leiden.

Mr Nico J. Mookhoek CIPP/E

Partner TeamKikk

Heeft u vragen over de bewaartermijnen of de AVG neem dan contact met ons op: info@teamkikk.nl

 

Door |2018-08-20T09:43:07+00:0020/06/2018|Juridische hulp|0 Reacties

About the Author: