Hoe lang mag je persoonsgegevens volgens de AVG eigenlijk bewaren? De Autoriteit Persoonsgegevens geeft 5 aanbevelingen

De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.

Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.

“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Vijf concrete aanbevelingen

Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:

  1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. 
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.

Over het register van verwerkingen

De AP heeft veel informatie over het register van verwerkingen op de website staan. De informatie en de vragen en antwoorden staan hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.

PrivacyZone helpt bij het opzetten van een verwerkingsregister

Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.

Welke gegevens mogen op basis van de AVG nog in een personeelsdossier worden opgenomen?

Hoe zou een goed personeelsdossier er volgens de Algemene Verordening Gegevensbescherming (AVG) er moeten uitzien? Die vraag wordt vaak gesteld. Logisch, want personeelsdossiers bevatten veel persoonsgegevens.

Bij controle op basis van de AVG blijkt dat er vaak te veel gegevens worden bewaard en ook gegevens die werkgevers niet zouden mogen hebben.

Wat mag wel en wat mag niet?

De hoofdregel is dat de werkgever alleen gegevens in het personeelsdossier mag opnemen die noodzakelijk zijn voor het doel van het personeelsdossier.

In het personeelsdossier bewaart de werkgever de gegevens die hij nodig heeft om de arbeidsovereenkomst met de werknemer te kunnen uitvoeren.

Inhoud goed personeelsdossier

Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over een werknemer kan onderbouwen, bijvoorbeeld salarisverhoging of ontslag.

Sommige gegevens heeft de werkgever nodig om te kunnen voldoen aan wettelijke verplichtingen, zoals het betalen van belasting en premies. Andere gegevens zijn belangrijk voor bijvoorbeeld het personeelsbeleid.

De Algemene verordening gegevensbescherming stelt beveiligingseisen aan zowel een digitaal als een papieren personeelsdossier. De werkgever moet er bijvoorbeeld voor zorgen dat slechts een klein aantal mensen toegang heeft tot het personeelsdossier.

 

De werkgever mag onder meer de volgende gegevens in het personeelsdossier opnemen:

  • klachten;
  • waarschuwingen;
  • verzuimfrequentie (hoe vaak een werknemer er niet is);
  • verslagen van beoordelings- en functioneringsgesprekken die door de werknemer voor akkoord of gezien zijn getekend;
  • een kopie van het identiteitsbewijs;
  • het burgerservicenummer (BSN);
  • persoonlijke werkaantekeningen van de leidinggevende.

Medische gegevens mag de werkgever in principe niet opnemen in het personeelsdossier.

De AVG verplicht organisaties om beveiligingsmaatregelen tectreffen voor een digitaal personeelsdossier. Als het dossier ook toegankelijk is via internet is het bijvoorbeeld verplicht om een firewall te gebruiken. Bijvoorbeeld als werknemers online hun personeelsdossier in kunnen zien.

 

Hoe lang bewaren?

De werkgever is wettelijk verplicht sommige gegevens uit het personeelsdossier een bepaalde tijd te bewaren. Zo moet hij gegevens uit de salarisadministratie die fiscaal van belang zijn, 7 jaar bewaren nadat de werknemer uit dienst is.

Loonbelastingverklaringen en een kopie van het identiteitsbewijs moet de werkgever 5 jaar na het einde van het dienstverband bewaren.

Voor sommige gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens geldt over het algemeen een bewaartermijn van 2 jaar nadat het dienstverband is beëindigd.

Zijn de gegevens al eerder niet meer nodig? Dan moet de werkgever ze direct verwijderen.

 

Voorbeelden van dit soort gegevens zijn: verslagen van functionerings- en beoordelingsgesprekken, arbeidsovereenkomsten en wijzigingen hierin, correspondentie over benoeming, promotie, degradatie en ontslag, afspraken over werkzaamheden voor de ondernemingsraad, getuigschriften en administratieve verzuimgegevens.

Langer bewaren

De werkgever kan gegevens van de (ex-)werknemer langer bewaren als er een arbeidsconflict is (geweest) of als er een rechtszaak loopt.

 

 

Hoe lang mag je volgens de AVG offertes bewaren? Dat hangt er vanaf…

De AVG bepaalt dat persoonsgegevens niet langer dan strikt noodzakelijk mogen worden opgeslagen. Hoe zit dat met offertes die helaas niet tot een opdracht hebben geleid?

Twee praktijkvoorbeelden die de afgelopen weken aan PrivacyZone werden voorgelegd.

Een bouwbedrijf brengt een offerte uit voor de nieuwbouw van een woning. Dat kost moeite, tijd en dus geld. De potentiele klant gaat niet op de offerte in.

Mag het bouwbedrijf de offerte volgens de AVG dan nog bewaren?

Een metaalbedrijf brengt op verzoek van een grote industriele producent een offerte uit voor een gecompliceerde alluminium constructie. De kosten vallen hoger uit dan de potentiele opdrachtgever had verwacht. Het project wordt eerst uitgesteld.

Mag het metaalbedrijf de offerte bewaren voor het geval dat de potentiele klant zich later bedenkt? Dat kan een paar jaar duren, leert de ervaring.

Ondernemers bewaren offertes doorgaans jarenlang.

Je weet nooit of ze nog van pas komen, kregen we te horen.

De ondernemers zijn geschokt dat ze volgens de AVG de offertes nu na het afketsen van de opdracht zouden moeten vernietigen.

Hoe zit het met het intellectuele eigendom van de offerte?

Eigenlijk is het heel eenvoudig.

De AVG gaat over de verwerking van persoonsgegevens.

Een offerte bevat altijd persoonsgegevens. Anders kan de offerte immers niet verzonden worden naar de potentiele klant.

Bij een bouwtekening worden waarschijnlijk ook adresgegevens van de bouwlocatie verwerkt.

Als alle persoonsgegevens uit de offerte worden gehaald, of geanonimiseerd, en de offerte ook indirect niet herleidbaar is naar de potentiele klant mag de offerte gewoon bewaard worden.

Daarnaast zou de ondernemers ook toestemming kunnen vragen om de offerte langer te mogen opslaan. Bij het metaalbedrijf heeft de potentiele klant te kennen gegeven dat de opdracht voorlopig wordt uitgesteld. Dan kan natuurlijk gevraagd worden of de offerte mag worden bewaard en er te zijner tijd opnieuw contact kan worden opgenomen. Als dat schriftelijk wordt bevestigd voldoet u aan de wet.

De aannemer kan leven met de oplossing om de offerte te anonimiseren. Hij heeft alleen een probleem. Het softwarepakket dat bij gebruikt om bouwtekeningen te maken biedt de mogelijkheid tot het verwijderen of anonimiseren van persoonsgegevens niet. Hij moet de producent van de software vragen om het pakket aan te passen. Het kostbare pakket is nog lang niet afgeschreven. Wat nu?

De AVG biedt een ontsnappingsclausule ingeval de continuiteit van een bedrijf in gevaar zou kunnen komen als niet direct aan de wet kan worden voldaan. Als de aannemer kan aantonen dat er voorlopig geen alternatieve oplossing voorhanden is kan hij voorlopig gebruik blijven maken van het pakket. Hij moet wel een plan maken om binnen afzienbare tijd een oplossing te realiseren. En hij moet dat opnemen in zijn verwerkingsregister.

Organisaties mogen persoonsgegevens alleen verwerken als ze daar een noodzaak voor hebben. Dat geldt tevens bij het bewaren van informatie.

In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft.

Als de offerte leidt tot een opdracht ligt de zaak anders. Dan geldt de bewaartermijn die de belastingdienst voorschrijft. Zeven jaar bewaren (art. 52 Wet Rijksbelastingen).

Dat geldt dus ook als er in die administratie persoonsgegevens van klanten zitten.

Maar pas op. dit betekent niet dat klantprofielen zeven jaar actief gehouden mogen worden, of dat e-mailadressen zeven jaar lang nog gemaild mogen worden. Die vallen immers buiten de wettelijk vereiste gegevens.

De bewaartermijn moet inclusief motivatie worden opgenomen in het verwerkingsregister. En natuurlijk moeten gegevens ook daadwerkelijk weggegooid worden als de bewaartermijn verstreken is.