Exact heeft sinds de “spring-release ‘18” een aantal nieuwe functionaliteiten toegevoegd in de software om te voldoen aan de nieuwe AVG. De technische functionaliteiten zijn duidelijk en eenvoudig te begrijpen. Alleen hoe stel je als organisatie nu een juiste bewaartermijn vast aan persoonsgegevens waar geen directe juridische bewaartermijn aan ten grondslag ligt?
Bewaartermijn
Voordat een organisatie kan beginnen met anonimiseren, samenvoegen of verwijderen van personeelsgegevens moet de organisatie de bewaartermijnen in kaart brengen. De AVG benoemt geen concrete bewaartermijn voor persoonsgegevens. Wel hebben wettelijke bewaartermijnen voorrang over wat er in de AVG gesteld wordt.
Een paar voorbeelden van wettelijke bewaartermijnen zijn dat sollicitatiebrieven na beëindiging van de sollicitatieprocedure maximaal 4 weken zonder toestemming en maximaal 1 jaar met toestemming bewaard mogen blijven, kopie ID-bewijs moet na beëindiging dienstverband minimaal 5 jaar bewaard blijven en de burgerlijke staat van een werknemer moet na beëindiging van het dienstverband minimaal 7 jaar bewaard blijven.
Hoe stel je als organisatie nu een juiste bewaartermijn vast aan persoonsgegevens waar geen directe juridische bewaartermijn aan ten grondslag ligt?
Instellen juiste bewaartermijn
Dit kun je bewerkstelligen door jezelf de volgende vragen te stellen, namelijk
- Wanneer is het doeleinde waarvoor het verzameld is bereikt?
- Kunnen de gegevens tijdens de hele bewaartermijn actueel, juist en volledig gehouden worden?
- Geeft het langer bewaren van de persoonsgegevens een grotere inbreuk op de persoonlijke levenssfeer van de betrokkene?
- Kunnen de persoonsgegevens ook geanonimiseerd worden?
- Kan de betrokkene tijdens de gehele bewaartermijn zijn/haar rechten uitoefenen?
Het is aan te raden ten eerste in kaart te brengen welke persoonsgegevens je nu verwerkt als organisatie (feitelijk het opmaken van het verwerkingsregister wat een verplichting is vanuit de AVG), voor welk doel verzamel je deze persoonsgegevens en van daaruit bepalen voor welke documenten en gegevens een bewaartermijn geldt vanuit bepaalde wetgevingen. De persoonsgegevens/documenten waar geen wettelijke bewaartermijn voor staan mogen alleen bewaard worden voor zolang als het nodig is voor de doeleinden waarvoor het verzameld is.
Een voorbeeld
Er worden NAW-gegevens verzameld van deelnemers aan een seminar. De gegevensverzameling is direct gekoppeld aan dit specifieke doel. Het doel voor deze verzameling is voorbij zodra het seminar is geweest en daarom zouden de betreffende gegevens verwijderd moeten worden.
Tip is om bij de aanmelding van het seminar direct toestemming te vragen voor het verzamelen en verwerken van de gegevens voor toekomstige commerciële activiteiten. Je dient wel de mogelijkheid te creëren om in een later stadium de toestemming weer gemakkelijk in te kunnen laten trekken.
Conclusie:
Technische mogelijkheden om beter te kunnen voldoen aan de AVG, vanuit in dit geval Exact, gaan altijd hand-in-hand met beleidsmatige afspraken op het vlak van informatiebeveiliging (en dus ook de AVG). Het opstellen van een goed beleid is voor veel bedrijven een uitdaging. Komt je er niet uit? Wij helpen je graag!