Hoe lang mag je persoonsgegevens volgens de AVG eigenlijk bewaren? De Autoriteit Persoonsgegevens geeft 5 aanbevelingen

De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.

Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.

“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Vijf concrete aanbevelingen

Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:

  1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. 
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.

Over het register van verwerkingen

De AP heeft veel informatie over het register van verwerkingen op de website staan. De informatie en de vragen en antwoorden staan hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.

PrivacyZone helpt bij het opzetten van een verwerkingsregister

Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.

Slechts 10 procent van de werknemers aangesproken op onzorgvuldige omgang met privacygevoelige informatie

De AVG leeft nog niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.

Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.

Fellowes is een bedrijf dat produkten verkoopt waarmee digitale en papieren databestanden veilig kunnen worden afgeschermd, opgeslagen of vernietigd.

Onduidelijk wie verantwoordelijk is voor privacybeleid

Uit het onderzoek blijkt tevens dat het niet altijd duidelijk is wie verantwoordelijk is voor de controle op omgang met privacygevoelige documenten.

Dertien procent heeft geen idee wie dit is.

Een derde (29%) van de werknemers geeft aan dat iedereen binnen het bedrijf verantwoordelijk is voor de naleving van de AVG. De
directie (21%) en de Data Protection Officer (15%) worden daarnaast het meest aangewezen als verantwoordelijke.

Opmerkelijk genoeg heeft een deel van de bedrijven nog niet een AVG-beleid (19%).

 

Bij de bedrijven die de wetgeving wel hebben doorgevoerd, houdt de meerderheid (64%) zich hieraan.

Echter weet 14 procent van de werknemers niet meer wat er in het privacybeleid van de organisatie staat.

Nederlanders willen volgens KPMG massaal gebruik maken van privacywet om persoonlijke dossiers op te vragen

Uit het onderzoek van KPMG onder ruim 1.000 Nederlanders van vijftien jaar of ouder blijkt dat meer dan de zestig procent van hen van plan is om na 25 mei gebruik te gaan maken van het recht om bij bedrijven en instanties persoonlijke dossiers op te vragen.

51 procent van de ondervraagde Nederlanders gaf volgens KPN aan van plan te zijn om organisaties met informatie- en privacyverzoeken te gaan bestoken.

Van mensen die op de hoogte zijn van de nieuwe verordening, zegt 51% gebruik te gaan maken van het recht op vergetelheid, wil 60% gebruik maken van het recht op inzage, zal 56% het recht op overdraagbaarheid willen claimen en wil 59% het recht op rectificatie eisen.

Nederlanders maken zich vooral zorgen om de wijze waarop wordt omgegaan met hun medische gegevens.

70% van de ondervraagde mensen heeft twijfels over het gebruik van dit soort persoonlijke informatie, vooral in het elektronisch patiëntendossier (EPD).

Koos Wolters, privacyexpert van KPMG en betrokken bij het onderzoek zegt dat 90% van het publiek nog nooit het eigen EPD heeft ingezien.

Veel mensen zetten bovendien vraagtekens bij de veiligheid van hun gegevens bij de huisarts. Minder dan de helft van de Nederlanders denkt dat medische gegevens die worden bewaard door de huisarts of dokter goed beschermd zijn.” Het beloven dus drukke tijden te worden voor zorginstellingen.

Een andere groep die naar verwachting met veel informatie- en privacyverzoeken vanuit burgers te maken zal krijgen, wordt gevormd door de banken. Zij beheren namelijk grote hoeveelheden data van consumenten, waaronder veel persoonlijke en vaak gevoelige informatie.

Wolters: “Bedrijven en instanties kunnen hun borst natmaken en zullen alle zeilen bij moeten zetten om aan alle eisen te voldoen.” Dat scenario wordt alleen maar waarschijnlijker gezien de risico’s waarmee deze organisaties te maken krijgen, zoals cybersecurityrisico’s.

Slechts 20 procent kent de AVG

Hoe dan ook, momenteel is nog ‘slechts’ 20% van de Nederlanders op de hoogte van de AVG-wetgeving. Als dat zo blijft dan is dat goed nieuws voor veel organisaties, aangezien de volumes vanuit burgers behapbaar kunnen blijven.

Het bewustzijn en de kennis rondom de AVG zal naar verwachting de komende periode alleen maar meer gaan toenemen, waardoor toekomstige verzoeken vanuit consumenten nog behoorlijk kunnen gaan stijgen.

Een goede voorbereiding op de aankomende werklast na invoering van de AVG lijkt voor organisaties dus onontbeerlijk, zeker ook omdat hun reputatie onder consumenten op het spel kan komen te staan als ze er niet goed mee omgaan. In een tijd van social media, kunnen klachten over organisaties soms razendsnel viral gaan.

Als dat inzicht niet voldoende is, dan kunnen de hoge boetes die vanaf 25 mei gelden voor organisaties die zich niet houden aan de nieuwe privacyregels, voor veel organisaties een belangrijke stimulans zijn om de AVG serieus te nemen. Bedrijven die zich niet aan de wet houden kunnen een boete van 4 procent van hun jaaromzet krijgen tot een maximum van 20 miljoen Euro per geconstateerde overtreding.