Bewaren of niet?
Bewaren of niet?
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking en zal als een Europese superwet de privacy van miljoenen Europeanen gaan beschermen. De AVG stelt aan de verwerkingsverantwoordelijke (dit is degene die persoonsgegevens van een ander, de betrokkene, verwerkt) strenge eisen. Dit leidt niet alleen tot een kritische blik op de hoeveelheid verwerkte persoonsgegevens, maar ook op de duur van die verwerking.
Hoe lang mogen of moeten persoonsgegevens bewaard worden?
Een duidelijke en concrete bewaartermijn wordt in de AVG niet gegeven. Wel gelden voor bewaartermijnen de algemene beginselen van de AVG, zoals genoemd in artikel 5. Een daarvan betreft het vereiste van “dataminimalisatie”. De verwerkingsverantwoordelijke moet er naar streven zo weinig mogelijk persoonsgegevens te verwerken. Daarnaast moeten ze voor een welbepaald doel worden verzameld Dit is het vereiste van doelbinding. Dit betekent dat slechts die gegevens verwerkt mogen worden die ook daadwerkelijk nodig zijn voor het doel waarvoor ze zijn verzameld. Op basis van deze begrippen moet de verwerking niet alleen worden beperkt met betrekking tot de hoeveelheid , maar ook met betrekking tot de duur van verwerking . Onder verwerken valt ook het bewaren. Het streven hierbij is om verzamelde persoonsgegevens zo kort mogelijk te bewaren. Omdat de AVG geen bewaartermijnen geeft zullen organisaties dus deels zelf moeten vaststellen hoe lang verzamelde persoonsgegevens mogen of moeten bewaard blijven. Deze open norm kan voor organisaties lastig toe te passen zijn.
Aanknopingspunten
De rechtmatigheid van de verwerking kan richting geven aan deze open norm. Artikel 6 van de AVG geeft de gronden voor een rechtmatige verwerking. Drie veelvoorkomende zijn: toestemming betrokkene, uitvoering van een overeenkomst en het voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
In het eerste geval is de verwerking van persoonsgegevens gestart nadat de betrokkene daarvoor zijn toestemming heeft gegeven. Bijvoorbeeld om in een klantenbestand te worden opgenomen om zo de meest actuele aanbiedingen van bijvoorbeeld een webwinkel per mail te ontvangen. Na intrekking van de toestemming zal de verwerkingsverantwoordelijke verplicht zijn de verwerking en bewaring van de betreffende persoonsgegevens te staken. De betrokkene geeft immers te kennen geen prijs meer te stellen op het ontvangen van aanbiedingen. Met het intrekken van de toestemming vervalt het doel van de verwerking en daarmee de rechtmatigheid.
Een andere rechtmatige grond voor verwerking is de uitvoering van een overeenkomst. Bij een online aankoop is het noodzakelijk dat de webwinkel de NAW-gegevens verwerkt. Het doel van de verwerking is om het gekochte product op het juiste adres af te kunnen leveren. Met het afleveren van het product vervalt ook het doel van de verwerking van persoonsgegevens. Tenzij toestemming is gegeven de gegevens langer te gebruiken/bewaren. Bijvoorbeeld door het aanmaken van een account, waarin akkoord is gegeven voor langere verwerking/bewaring.
Bij toestemming wordt de verwerkingsverantwoordelijke verplicht de verwerking van betreffende persoonsgegevens te staken na intrekking van de toestemming. Ook het uitvoeren van een overeenkomst kan een grond zijn de verwerking te staken. Anders is dit indien er op de verwerkingsverantwoordelijke met betrekking tot verwerking van bepaalde persoonsgegevens een wettelijke bewaarplicht rust.
Een voorbeeld van zo’n wettelijke bewaarplicht is de verplichting voor de werkgever om bij aanvang van een dienstverband een kopie legitimatie van de werknemer te vragen en te bewaren. Dit dient tot 5 jaar na beëindiging van het dienstverband bewaard te blijven. Hier zien we dat na het eindigen van een (arbeids)overeenkomst de gegevens toch langer bewaard dienen te blijven. Ook financiële dienstverleners hebben te maken met wettelijke bewaartermijn. Adviesdossiers moeten volgens artikel 32A BGfo Wft (Besluit Gedragstoezicht financiële ondernemingen behorend bij Wet financieel toezicht) 5 jaar bewaard worden. Het adviesdossier bevat de voor het advies noodzakelijke persoonsgegevens, zoals doelstellingen, financiële positie en veel andere gegevens van de klant. Ook kunnen adviesdossiers gezondheidsgegevens bevatten. Bovenstaande voorbeelden zijn slechts een greep uit de vele op grond van enige wet verplichte bewaartermijnen.
Conclusie
De AVG heeft zonder concrete bewaartermijnen door het vereiste van dataminimalisatie en doelbinding toch veel invloed op de duur van bewaring van persoonsgegevens. Anderzijds moet ook rekening worden gehouden met wettelijke bewaartermijnen. Eigenlijk zou elk stukje persoonsgegeven individueel beoordeeld moeten worden waarna er een bewaartermijn kan worden vastgesteld. Belangrijk is om te bepalen welke gegevens hoelang bewaard moeten of mogen blijven. Dit om zowel aan wettelijke bewaartermijnen te voldoen en tegelijkertijd de uitgangspunten van de AVG in de praktijk te brengen.
21 juli 2017 door Arjan Brookman