AVG: Hoe lang mag u persoonsgegevens bewaren?

Voor veel bedrijven is de nieuwe privacywetgeving (AVG) nog steeds abracadabra. De Autoriteit Persoonsgegevens is de campagne “Wat betekent de privacywet voor jouw bedrijf?” gestart nu zij nog steeds veelvuldig vragen ontvangt over de AVG. Een van de steeds terugkerende vragen ziet op de bewaartermijnen in de AVG. Hoe lang mogen bedrijven persoonsgegevens bewaren? In dit blog staat deze vraag centraal.

Uitgangspunt op basis van de AVG

Het uitgangspunt blijft net als bij de Wet bescherming persoonsgegevens (Wbp) dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel van de verwerking. Concrete bewaartermijnen benoemt de AVG niet. U mag dan ook zelf de duur van de bewaartermijn bepalen. Ondanks dat de AVG geen concrete bewaartermijnen noemt, zijn die er in veel gevallen wel. Deze termijnen zijn bijvoorbeeld gebaseerd op een onderdeel uit het vrijstellingsbesluit van de Wbp of andere wetgeving.

Overzicht van concrete termijnen

Er zijn tal van documenten met persoonsgegevens waarvoor concrete bewaartermijnen zijn vastgesteld. Zo gelden voor de volgende documenten met persoonsgegevens de volgende bewaartermijnen:

Facturen en financiële administratie: Op grond van de Algemene Wet Rijksbelasting (AWR) geldt voor dergelijke documenten een bewaartermijn van 7 jaar.
Loonbelastingverklaringen en kopie paspoort: Op grond van artikel 66 lid 4 van de Uitvoeringsregeling Loonbelasting geldt voor deze documenten een bewaartermijn van 5 jaar.
Personeelsgegevens: Op grond van artikel 7 lid 5 van het Vrijstellingsbesluit Wbp mogen personeelsgegevens tot 2 jaar nadat het dienstverband of de werkzaamheden zijn beëindigd, worden bewaard, tenzij deze gegevens noodzakelijk zijn om te voldoen aan een wettelijke bewaarplicht.
Sollicitatiegegevens: Op grond van artikel 5 lid 6 van het Vrijstellingsbesluit Wbp mogen sollicitatiegegevens tot 4 weken nadat de sollicitatieprocedure is geëindigd, worden bewaard.

Goed om hierbij te benoemen is dat Het Vrijstellingsbesluit Wbp per 25 mei 2018 is komen te vervallen. Echter biedt het Vrijstellingsbesluit Wbp nog wel een referentiekader op basis waarvan de bewaartermijnen kunnen worden vastgesteld onder de AVG. Hierbij moet men wel bedacht zijn dat de toepasselijke wettelijke bewaartermijnen prevaleren boven de genoemde bewaartermijnen in dit besluit.

Waarom is het vaststellen van bewaartermijnen belangrijk?

Onder de AVG kan het te lang bewaren van persoonsgegevens worden beboet. De boetes voor overtreding van de AVG zijn bovendien niet mals: 4% van de jaarlijkse wereldwijde omzet of € 20 miljoen. Bewaar dus de persoonsgegevens niet langer dan noodzakelijk!

Vragen?

Heeft u vragen over de (wettelijke) bewaartermijnen of de AVG? Neem dan contact op met Sheevani Bharatsingh (030-2516424 en sbharatsingh@vanodijk.nl).

Het verwerken van het Burger Service Nummer: mag dat op grond van de AVG?

Organisaties zijn nog altijd druk in de weer met de AVG. Daarbij lopen zij in de praktijk vaak tegen onduidelijkheden aan. Zo bestaat er onduidelijkheid over de kwalificatie en de rechtmatige verwerking van het Burger Service Nummer (“BSN”). Onder de Wet Bescherming Persoonsgegevens (“Wbp”) was het BSN een bijzonder persoonsgegeven. Met de komst van de AVG valt het BSN niet meer onder deze bijzondere categorie van persoonsgegevens. Wat voor soort persoonsgegeven is het BSN nu? Wanneer is het uw organisatie toegestaan om dit persoonlijke nummer te verwerken?

De status van het BSN

Het BSN stelt overheidsinstanties in staat om gegevens van burgers op te zoeken en om deze gemakkelijk uit te wisselen met derden. Het BSN is een uniek nummer en wordt aldus beschouwd als een persoonsgegeven van gevoelige aard. Vanwege deze uniekheid bestaan er grote privacy risico’s bij het verwerken van het BSN.

Onder de Wbp was het BSN een bijzonder persoonsgegeven en bestond er een verbod om het BSN te verwerken, tenzij daarvoor een wettelijke verplichting bestond. Zoals eerder aangegeven, benoemt de AVG in artikel 87 niet expliciet dat het BSN een bijzonder persoonsgegeven is. Wel staat er in artikel 46 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (“UAVG’) dat verwerking van het BSN slechts is toegestaan ter uitvoering van een wettelijke verplichting. Aldus lijkt het erop dat de bestaande praktijk voor de verwerking van het BSN feitelijk niet verandert.

Wanneer is de verwerking van het BSN toegestaan?

Voor de verwerking van het BSN is een wettelijke grondslag/verplichting vereist. Voor overheidsinstanties is deze wettelijke grondslag neergelegd in artikel 10 Wet algemene bepalingen Burgerservicenummer (“Wabb”). Daarbij blijft het van belang dat de verwerking van het BSN door een overheidsorganisatie noodzakelijk is. Organisaties buiten de overheid mogen slechts het BSN gebruiken wanneer dit in een specifieke wet is bepaald.

Over het al dan niet verwerken van het BSN bestaat veel onduidelijkheid bij organisaties. Zo is het vaak voor organisaties niet duidelijk of zij als werkgever het BSN van hun werknemers mag verwerken. En hoe zit het met de Arbodienst? Mag deze het BSN van uw werknemer verwerken? Ook ZZP’ers lopen tegen de verwerkingsproblematiek van het BSN aan. Zo bestaat het btw-nummer van ZZP’ers vaak uit het de cijfercombinatie van het BSN. Mag de Belastingdienst zomaar het BSN opnemen in het btw-nummer?

De verwerking van het BSN door werkgevers

Werkgevers hebben wettelijke verplichtingen op basis waarvan het BSN geregistreerd moet worden. Zo dient een werkgever in het kader van de salarisadministratie het BSN van de werknemer te verwerken en deze door te geven aan de Belastingdienst. Een andere verplichting van de werkgever waarbij de verwerking van het BSN noodzakelijk is, is haar verplichting tot het inschakelen van een arbodienst of bedrijfsarts in het kader van haar re-integratieverplichtingen. Als werkgever heeft u dus wettelijke verplichtingen op basis waarvan de verwerking van het BSN rechtmatig is.

Ook hier geldt dat de werkgever enkel het BSN voor die specifieke doeleinden mag verwerken. Verwerkingen voor andere doeleinden zijn strikt verboden op grond van artikel 46 UAVG. Zo mag de werkgever het BSN bijvoorbeeld niet gebruiken om deze te koppelen aan verslagen van beoordelingsgesprekken. Dit is immers geen wettelijke verplichting waarvoor de verwerking van het BSN noodzakelijk is.

Verwerking van het BSN in btw-nummer

Voor ZZP’ers bestond er geruime tijd onduidelijkheid over het verwerken van het BSN van de ZZP’er door de Belastingdienst. De Belastingdienst genereerde het btw-nummer van ZZP’ers door het gehele BSN op te nemen in het btw-nummer. De Belastingdienst dient daarvoor een wettelijke verplichting/grondslag te hebben. Nu er weinig duidelijkheid bestond over het bestaan van deze wettelijke basis, besloot de Autoriteit Persoonsgegevens (“AP”) een onderzoek te starten. In juli van dit jaar kwam het verlossende woord van de AP. Uit het onderzoek van de AP bleek dat de Belastingdienst geen wettelijke basis had en heeft om het BSN te gebruiken in het btw-nummer van ZZP’ers. De AP heeft daarbij een flinke tik uitgedeeld aan de Belastingdienst en haar gesommeerd om de geconstateerde overtredingen zo snel mogelijk te beëindigen. De Belastingdienst heeft tot 1 januari 2019 de te tijd om het gebruik van het BSN te stoppen. De tijd zal uitwijzen of de Belastingdienst het gebruik van het BSN in haar btw-nummers tijdig heeft kunnen uitbannen.

Meer lezen?

De AP geeft op haar website uitgebreide toelichting op de AVG en de problematiek die zich omtrent deze verordening afspeelt. Een van de onderwerpen waaraan de AP aandacht besteedt, is de identificatie van een betrokkene op basis van het BSN. Lees hier de toelichting van de AP ten aanzien van de verwerking van het BSN door overheidsinstanties en andere organisaties.

Vragen?

Voor vragen over de AVG neemt u gerust contact op met: Sheevani Bharatsingh

Wel of geen verwerkersovereenkomst?

“Of je de meegezonden verwerkersovereenkomst wilt ondertekenen, want dat moet volgens de AVG”.

Het lijkt erop alsof er bijna geen enkele organisatie meer is die deze vraag niet één of meerdere keren heeft gekregen. Om te (willen) voldoen aan de AVG worden er massaal verwerkersovereenkomsten toegezonden aan organisaties waarmee persoonsgegevens worden gedeeld. Ook in de gevallen waarin helemaal geen verwerkersovereenkomst hoeft te worden gesloten , zo blijkt uit de praktijk.

In deze blog daarom de vraag: wanneer moet er nu een verwerkersovereenkomst worden afgesloten?

Rollen onder de AVG

Het korte antwoord op de vraag is: als je als verwerker persoonsgegevens gaat verwerken voor een verwerkingsverantwoordelijke.

Om de vraag goed te beantwoorden, is het dus nodig om te weten wat de AVG verstaat onder verwerkingsverantwoordelijke en onder verwerker.

In onze twee eerdere blogs over de AVG is al op die rolverdeling ingegaan. Kort en goed:

de verwerkingsverantwoordelijke is de partij die bepaalt wat er met de persoonsgegevens moet gebeuren en hoe dat moet gebeuren (de verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast);
de verwerker is de partij die de verwerking voor de verwerkingsverantwoordelijke uitvoert.

De verwerker heeft bij de uitvoering van de verwerking nog wel enige ruimte om aan het hoe (de middelen) invulling te geven, maar de verwerker is nooit de partij die het doel van de verwerking bepaalt. Doet de verwerker dat toch, dan is hij voor die verwerking zélf verwerkingsverantwoordelijke. Bij verwerkers gaat het overigens om externe partijen (niet om de eigen werknemers van de verwerkingsverantwoordelijke).

Wanneer nu wel/niet een verwerkersovereenkomst?

Als je verwerker bent en vanuit die rol voor een verwerkingsverantwoordelijke persoonsgegevens gaat verwerken moet dus een verwerkersovereenkomst worden afgesloten. Ben je daarentegen zelf degene die bepaalt wat er met de ontvangen persoonsgegevens gaat gebeuren, dan zal je geen verwerker zijn en is een verwerkersovereenkomst niet aan de orde.

De eerste situatie zal meestal aan de orde zijn als de opdracht die je krijgt hoofdzakelijk ziet op het verwerken van persoonsgegevens. De tweede situatie zal vaak aan de orde zijn als de verwerking van persoonsgegevens een uitvloeisel is van een andere vorm van dienstverlening.

Enkele voorbeelden hiervan zijn:

wel verwerkersovereenkomst tussen

een werkgever (verwerkingsverantwoordelijke) en het door die werkgever voor het uitvoeren van de loonadministratie ingeschakelde administratiekantoor (verwerker)

een cloudprovider (verwerker) en de organisatie (verwerkingsverantwoordelijke) die haar data met persoonsgegevens bij die cloudprovider opslaat.

geen verwerkersovereenkomst tussen

een werkgever (verwerkingsverantwoordelijke) en zijn werknemers (de werknemers zijn geen verwerker, want in dienst bij de werkgever)

een aannemer en zijn opdrachtgever bij een overeenkomst voor het bouwen van een huis (de aannemer bepaalt zelf wat hij doet met van de opdrachtgever ontvangen persoonsgegevens, zoals bijvoorbeeld de contactgegevens van de architect).

Geen Wet van Meden en Perzen

Een algemeen gelende vuistregel valt echter helaas niet te geven. Van belang blijft om per geval te beoordelen wat de rol van partijen is. Daarbij is de praktijk vaak weerbarstig en hebben partijen soms meerdere rollen. Een kritische houding ten opzichte van de soms vele verwerkersovereenkomsten die ter ondertekening worden aangeboden kan echter bepaald geen kwaad.

Meer lezen?

In Handleiding AVG van de Rijksoverheid wordt op een duidelijk en overzichtelijke manier ingegaan op de AVG, wat die betekent en hoe daaraan te voldoen. Met behulp van d e AVG-regelhulp van de Autoriteit Persoonsgegevens kan aan de hand van een interactieve vragenlijst worden nagaan hoe ver je als verwerkingsverantwoordelijke op stoom bent met het voldoen aan de AVG.

Vragen?

Voor vragen over de AVG neemt u gerust contact op met: Sheevani Bharatsingh.

De “verwerker” van persoonsgegevens.

In onze vorige bijdrage zijn we in algemene zin ingegaan op de AVG. Hierbij deel 2!

In deel 1 hebben we aangegeven dat de “verwerker” degene is die ten behoeve van de “verantwoordelijke” persoonsgegevens verwerkt. In deze bijdrage zoomen we wat dieper in op de “verwerker” van de persoonsgegevens. Aangezien de AVG bepaalt dat een verwerker uitsluitend onder het gezag en in opdracht van de verantwoordelijke persoonsgegevens mag verwerken, zijn er dan direct twee belangrijke vragen aan de orde:

1. 1. Waar moet je als de voor de persoonsgegevens verantwoordelijke partij op letten bij het kiezen van een verwerker, alvorens een contract aan te gaan?
  2. Wat zijn dan de belangrijkste zaken die je in een contract met een verwerker zou moeten of kunnen regelen?

Ad 1) Aanbevelingen voor de keuze van de verwerker

Omdat het gaat om een overeenkomst met een derde die bepaalde verwerkingen gaat uitvoeren met betrekking tot uw persoonsgegevens, is het van groot belang om tot een verantwoorde keuze te komen.

De volgende aanbevelingen helpen daarbij:

Verifieer bijvoorbeeld of de verwerker in het meldingenregister van de Autoriteit Persoonsgegevens is opgenomen. Kijk of de verwerker betrokken is geweest bij een overtreding van de privacywetgeving. Check referenties.
Belangrijk, check de aanwezigheid van een certificaat (bijv. ISO) en ga na wat de betekenis van dat certificaat is voor u als de verwerkersverantwoordelijke.
Overtuig u van de fysieke maatregelen en de geheimhoudingsplicht van de medewerkers van de verwerker en, eveneens belangrijk, de eventueel aanwezige sub-verwerkers.
En tot slot, kijk ook of de verwerker procedures heeft in het kader van de beveiliging, het testen van systemen, als ook wat er aan maatregelen klaarligt als er onverhoopt sprake zou zijn van een datalek. Want als er een datalek zou zijn, dan moet volstrekt helder zijn hoe er gehandeld zal worden, juist gelet op het feit dat de (tijdige) melding daarvan een verplichting is van de verwerkingsverantwoordelijke.

Ad 2) Aanbevelingen voor de inhoud van de verwerkersovereenkomst

En als de keuze voor de verwerker is bepaald, dan moeten de contractuele verplichtingen over en weer nog goed geregeld worden.

Het spreekt voor zich dat de te hanteren begrippen (zoals bijv. de “betrokkene”, een “datalek”, de “sub verwerker” etc.) in de overeenkomst duidelijk en correct moeten worden beschreven.
De AVG bepaalt dat de verwerker uitsluitend onder het gezag en in opdracht van de gegevensverantwoordelijke persoonsgegevens mag verwerken. En dus moet dat in de overeenkomst expliciet opgenomen worden, naast het feit dat de verwerker geen zeggenschap heeft over doel en middelen, het gebruik, de retentie en het verstrekken van gegevens aan derden.
Ook het onderwerp en de duur van de verwerking, de aard en het doel daarvan, het soort persoonsgegevens (dat verwerkt zal worden), de rechten en verplichtingen van de verwerkingsverantwoordelijke, de afspraken over doorgifte naar derde landen, de opslag van gegevens buiten de Europese Unie, als ook waarborgen van de vertrouwelijkheid (n.b. ook na het beëindigen van de overeenkomst) zijn allemaal onderwerpen die geregeld moeten worden.
Denk ook aan de garanties van de verwerker met betrekking tot het toepassen van bepaalde technische en organisatorische maatregelen voor het vereiste beveiligingsniveau.
En voorzie in het contract ook in de situatie dat als een verwerker een andere verwerker in dienst neemt, dat dat pas mogelijk is na specifieke schriftelijke toestemming van de verantwoordelijke. Zorg er dan voor dat in dat geval de aansprakelijkheid ook naar die derde verwerker wordt doorgelegd.
En tot slot, verplicht zijn ook bepalingen dat de verwerker moet meewerken aan regelmatige controles door de verantwoordelijke als ook afspraken over de beëindiging van de overeenkomst en de terbeschikkingstelling van alle data en andere (vertrouwelijke) gegevens.

Uit het vorenstaande mag blijken dat in deze overeenkomst deels algemene AVG-onderwerpen zullen moeten worden vastgelegd, maar het veelal ook gaat om maatwerk, afhankelijk van dat wat de specifieke situatie verlangd. Besteed daar tijdig aandacht aan, want de AVG staat voor de deur!

Vragen?

Voor vragen neemt u gerust contact op met: Sheevani Bharatsingh.

Opgelet: de AVG komt eraan!

De Algemene Verordening Gegevensbescherming (AVG) komt eraan… of, euh.. is er eigenlijk al. Deze treedt op 1 mei 2018 formeel in werking. Geen nieuwe Wet, maar een Verordening die vanaf dat moment rechtstreeks in de Europese lidstaten van de EU werkt.

De bijdrage hierover in deze spotlight beoogt geen totaal overzicht te geven van wat de AVG allemaal gaat betekenen – dat is veelomvattend – maar beoogt enig inzicht te geven waar de AVG voor staat. In onze volgende blogs en nieuwsbrieven zal er steeds op diverse voor de praktijk relevante AVG-onderwerpen nader worden ingezoomd.

Nu eerst deel 1, een algemene inleiding.

De AVG is breder dan de nu nog geldende Wet Bescherming Persoonsgegevens. De AVG introduceert een veelomvattende en uitgebreide Europese privacyregeling, te beginnen bij de invoering van een (deels nieuw) begrippenkader.

De AVG kent voor de toepassing in de praktijk belangrijke begrippen, zoals: ”persoonsgegevens”, “bijzondere persoonsgegevens”, “verwerking”, “verantwoordelijke“, “verwerker” en “verwerkersovereenkomst”.

Wanneer kwalificeert bepaalde informatie als een persoonsgegeven? In welke ‘hoedanigheden’ komen deze gegevens in de praktijk voor? Is een kenteken een persoonsgegeven in de zin van de AVG? Of een IP adres? Of een röntgenfoto? En bepaalde onderzoekgegevens?

De zoektocht naar het antwoord op dit soort vragen begint altijd artikel 1 van de AVG: een persoonsgegeven is “iedere informatie betreffende een geidentificeerde of identificeerbare natuurlijke persoon.” In alle door mij hierboven genoemde voorbeelden gaat het inderdaad om persoonsgegevens. Dat is echter in de praktijk niet altijd op voorhand even duidelijk.

Als men in de aanloop naar de inwerkingtreding met de AVG aan de slag gaat, moet men zich allereerst rekenschap geven van de vraag of er gewerkt wordt met persoonsgegevens en zo ja, om welke persoonsgegevens het dan precies gaat. Daarvan zal men zich primair bewust moeten zijn en deze persoonsgegevens zullen steeds specifiek geduid moet worden.

Bij die duiding is direct relevant of er dan mogelijk sprake is van het aanwezig zijn en/of verwerken van een specifieke soort persoonsgegevens, de zogeheten “bijzondere persoonsgegevens”. Daarbij gaat het om een persoonsgegevens, zoals gegevens met betrekking tot ras, etniciteit, politieke opvattingen, genetische gegevens, seksueel gedrag, gegevens over gezondheid. Hierover bepaalt de AGV dat het verboden is deze te verwerken, tenzij wordt voldaan aan de specifiek in de AVG genoemde uitzonderingsmogelijkheden (daarover in een volgende bijdrage meer).

In de vorige zin staat het werkwoord “verwerken”. Wat houdt dat begrip precies in?

Bij het verwerken van persoonsgegevens in de zin van de AVG gaat het om: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens […] al dan niet uitgevoerd via automatische procedures”.

Het begrip ziet concreet op activiteiten zoals: ”verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzenden, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen” van persoonsgegevens. Een hele mond vol activiteiten dus, op grond waarvan het direct duidelijk is hoe breed het toepassingsbereik van de AVG in de praktijk eigenlijk is.

En wie is de zogeheten “verantwoordelijke” in de zin van de AVG?

Dat is degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze.

Zie artikel 4 lid 7 AVG: “natuurlijk of rechtspersoon […] die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt”. Op deze verantwoordelijke rusten allerlei verplichtingen van de AVG zoals, het wettelijk kader naleven, het beoordelen van de rechtmatigheid van de verwerking (is deze in overeenstemming met de AVG), het zorgen voor en het controleren van voldoende beveiliging en geheimhouding, het controleren van het recht op kennisneming of verwijdering en, bepaald niet onbelangrijk, de verplichting om een datalek bij de autoriteit persoonsgegevens te melden.

De “verantwoordelijke” moet onderscheiden worden van de “verwerker”. Dat is de natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.

En omdat de verantwoordelijke ervan uit moet kunnen gaan dat de ingeschakelde verwerker behoorlijk omgaat met persoonsgegevens (de AVG naleeft) – de verantwoordelijke draagt de verantwoordelijkheid als dat niet zo is – geeft de AVG de verplichting om afspraken te maken tussen de verantwoordelijke en de verwerker middels een zogeheten ”verwerkersovereenkomst.”

Tot zover een inleiding op de komst van de AVG.

Als u zich afvraagt wat de inwerkingtreding daarvan voor de eigen onderneming betekent of kan gaan betekenen, dan is kennis van het in deze bijdrage genoemde begrippenkader essentieel. In onze volgende blogs en nieuwsbrieven gaan wij hier dieper op in. Op de hoogte blijven? Meld u dan aan voor onze nieuwsbrief!