
Voor veel bedrijven is de nieuwe privacywetgeving (AVG) nog steeds abracadabra. De Autoriteit Persoonsgegevens is de campagne “Wat betekent de privacywet voor jouw bedrijf?” gestart nu zij nog steeds veelvuldig vragen ontvangt over de AVG. Een van de steeds terugkerende vragen ziet op de bewaartermijnen in de AVG. Hoe lang mogen bedrijven persoonsgegevens bewaren? In dit blog staat deze vraag centraal.
Uitgangspunt op basis van de AVG
Het uitgangspunt blijft net als bij de Wet bescherming persoonsgegevens (Wbp) dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel van de verwerking. Concrete bewaartermijnen benoemt de AVG niet. U mag dan ook zelf de duur van de bewaartermijn bepalen. Ondanks dat de AVG geen concrete bewaartermijnen noemt, zijn die er in veel gevallen wel. Deze termijnen zijn bijvoorbeeld gebaseerd op een onderdeel uit het vrijstellingsbesluit van de Wbp of andere wetgeving.
Overzicht van concrete termijnen
Er zijn tal van documenten met persoonsgegevens waarvoor concrete bewaartermijnen zijn vastgesteld. Zo gelden voor de volgende documenten met persoonsgegevens de volgende bewaartermijnen:
Goed om hierbij te benoemen is dat Het Vrijstellingsbesluit Wbp per 25 mei 2018 is komen te vervallen. Echter biedt het Vrijstellingsbesluit Wbp nog wel een referentiekader op basis waarvan de bewaartermijnen kunnen worden vastgesteld onder de AVG. Hierbij moet men wel bedacht zijn dat de toepasselijke wettelijke bewaartermijnen prevaleren boven de genoemde bewaartermijnen in dit besluit.
Waarom is het vaststellen van bewaartermijnen belangrijk?
Onder de AVG kan het te lang bewaren van persoonsgegevens worden beboet. De boetes voor overtreding van de AVG zijn bovendien niet mals: 4% van de jaarlijkse wereldwijde omzet of € 20 miljoen. Bewaar dus de persoonsgegevens niet langer dan noodzakelijk!
Vragen?
Heeft u vragen over de (wettelijke) bewaartermijnen of de AVG? Neem dan contact op met Sheevani Bharatsingh (030-2516424 en sbharatsingh@vanodijk.nl).
“Of je de meegezonden verwerkersovereenkomst wilt ondertekenen, want dat moet volgens de AVG”.
Het lijkt erop alsof er bijna geen enkele organisatie meer is die deze vraag niet één of meerdere keren heeft gekregen. Om te (willen) voldoen aan de AVG worden er massaal verwerkersovereenkomsten toegezonden aan organisaties waarmee persoonsgegevens worden gedeeld. Ook in de gevallen waarin helemaal geen verwerkersovereenkomst hoeft te worden gesloten , zo blijkt uit de praktijk.
In deze blog daarom de vraag: wanneer moet er nu een verwerkersovereenkomst worden afgesloten?
Rollen onder de AVG
Het korte antwoord op de vraag is: als je als verwerker persoonsgegevens gaat verwerken voor een verwerkingsverantwoordelijke.
Om de vraag goed te beantwoorden, is het dus nodig om te weten wat de AVG verstaat onder verwerkingsverantwoordelijke en onder verwerker.
In onze twee eerdere blogs over de AVG is al op die rolverdeling ingegaan. Kort en goed:
De verwerker heeft bij de uitvoering van de verwerking nog wel enige ruimte om aan het hoe (de middelen) invulling te geven, maar de verwerker is nooit de partij die het doel van de verwerking bepaalt. Doet de verwerker dat toch, dan is hij voor die verwerking zélf verwerkingsverantwoordelijke. Bij verwerkers gaat het overigens om externe partijen (niet om de eigen werknemers van de verwerkingsverantwoordelijke).
Wanneer nu wel/niet een verwerkersovereenkomst?
Als je verwerker bent en vanuit die rol voor een verwerkingsverantwoordelijke persoonsgegevens gaat verwerken moet dus een verwerkersovereenkomst worden afgesloten. Ben je daarentegen zelf degene die bepaalt wat er met de ontvangen persoonsgegevens gaat gebeuren, dan zal je geen verwerker zijn en is een verwerkersovereenkomst niet aan de orde.
De eerste situatie zal meestal aan de orde zijn als de opdracht die je krijgt hoofdzakelijk ziet op het verwerken van persoonsgegevens. De tweede situatie zal vaak aan de orde zijn als de verwerking van persoonsgegevens een uitvloeisel is van een andere vorm van dienstverlening.
Enkele voorbeelden hiervan zijn:
wel verwerkersovereenkomst tussen
een werkgever (verwerkingsverantwoordelijke) en het door die werkgever voor het uitvoeren van de loonadministratie ingeschakelde administratiekantoor (verwerker)
een cloudprovider (verwerker) en de organisatie (verwerkingsverantwoordelijke) die haar data met persoonsgegevens bij die cloudprovider opslaat.
geen verwerkersovereenkomst tussen
een werkgever (verwerkingsverantwoordelijke) en zijn werknemers (de werknemers zijn geen verwerker, want in dienst bij de werkgever)
een aannemer en zijn opdrachtgever bij een overeenkomst voor het bouwen van een huis (de aannemer bepaalt zelf wat hij doet met van de opdrachtgever ontvangen persoonsgegevens, zoals bijvoorbeeld de contactgegevens van de architect).
Geen Wet van Meden en Perzen
Een algemeen gelende vuistregel valt echter helaas niet te geven. Van belang blijft om per geval te beoordelen wat de rol van partijen is. Daarbij is de praktijk vaak weerbarstig en hebben partijen soms meerdere rollen. Een kritische houding ten opzichte van de soms vele verwerkersovereenkomsten die ter ondertekening worden aangeboden kan echter bepaald geen kwaad.
Meer lezen?
In Handleiding AVG van de Rijksoverheid wordt op een duidelijk en overzichtelijke manier ingegaan op de AVG, wat die betekent en hoe daaraan te voldoen. Met behulp van de AVG-regelhulp van de Autoriteit Persoonsgegevens kan aan de hand van een interactieve vragenlijst worden nagaan hoe ver je als verwerkingsverantwoordelijke op stoom bent met het voldoen aan de AVG.
Vragen?
Voor vragen over de AVG neemt u gerust contact op met: Sheevani Bharatsingh.
In onze vorige bijdrage zijn we in algemene zin ingegaan op de AVG. Hierbij deel 2!
In deel 1 hebben we aangegeven dat de “verwerker” degene is die ten behoeve van de “verantwoordelijke” persoonsgegevens verwerkt. In deze bijdrage zoomen we wat dieper in op de “verwerker” van de persoonsgegevens. Aangezien de AVG bepaalt dat een verwerker uitsluitend onder het gezag en in opdracht van de verantwoordelijke persoonsgegevens mag verwerken, zijn er dan direct twee belangrijke vragen aan de orde:
Ad 1) Aanbevelingen voor de keuze van de verwerker
Omdat het gaat om een overeenkomst met een derde die bepaalde verwerkingen gaat uitvoeren met betrekking tot uw persoonsgegevens, is het van groot belang om tot een verantwoorde keuze te komen.
De volgende aanbevelingen helpen daarbij:
Ad 2) Aanbevelingen voor de inhoud van de verwerkersovereenkomst
En als de keuze voor de verwerker is bepaald, dan moeten de contractuele verplichtingen over en weer nog goed geregeld worden.
Uit het vorenstaande mag blijken dat in deze overeenkomst deels algemene AVG-onderwerpen zullen moeten worden vastgelegd, maar het veelal ook gaat om maatwerk, afhankelijk van dat wat de specifieke situatie verlangd. Besteed daar tijdig aandacht aan, want de AVG staat voor de deur!
Vragen?
Voor vragen neemt u gerust contact op met: Sheevani Bharatsingh.
De Algemene Verordening Gegevensbescherming (AVG) komt eraan… of, euh.. is er eigenlijk al. Deze treedt op 1 mei 2018 formeel in werking. Geen nieuwe Wet, maar een Verordening die vanaf dat moment rechtstreeks in de Europese lidstaten van de EU werkt.
De bijdrage hierover in deze spotlight beoogt geen totaal overzicht te geven van wat de AVG allemaal gaat betekenen – dat is veelomvattend – maar beoogt enig inzicht te geven waar de AVG voor staat. In onze volgende blogs en nieuwsbrieven zal er steeds op diverse voor de praktijk relevante AVG-onderwerpen nader worden ingezoomd.
Nu eerst deel 1, een algemene inleiding.
De AVG is breder dan de nu nog geldende Wet Bescherming Persoonsgegevens. De AVG introduceert een veelomvattende en uitgebreide Europese privacyregeling, te beginnen bij de invoering van een (deels nieuw) begrippenkader.
De AVG kent voor de toepassing in de praktijk belangrijke begrippen, zoals: ”persoonsgegevens”, “bijzondere persoonsgegevens”, “verwerking”, “verantwoordelijke“, “verwerker” en “verwerkersovereenkomst”.
Wanneer kwalificeert bepaalde informatie als een persoonsgegeven? In welke ‘hoedanigheden’ komen deze gegevens in de praktijk voor? Is een kenteken een persoonsgegeven in de zin van de AVG? Of een IP adres? Of een röntgenfoto? En bepaalde onderzoekgegevens?
De zoektocht naar het antwoord op dit soort vragen begint altijd artikel 1 van de AVG: een persoonsgegeven is “iedere informatie betreffende een geidentificeerde of identificeerbare natuurlijke persoon.” In alle door mij hierboven genoemde voorbeelden gaat het inderdaad om persoonsgegevens. Dat is echter in de praktijk niet altijd op voorhand even duidelijk.
Als men in de aanloop naar de inwerkingtreding met de AVG aan de slag gaat, moet men zich allereerst rekenschap geven van de vraag of er gewerkt wordt met persoonsgegevens en zo ja, om welke persoonsgegevens het dan precies gaat. Daarvan zal men zich primair bewust moeten zijn en deze persoonsgegevens zullen steeds specifiek geduid moet worden.
Bij die duiding is direct relevant of er dan mogelijk sprake is van het aanwezig zijn en/of verwerken van een specifieke soort persoonsgegevens, de zogeheten “bijzondere persoonsgegevens”. Daarbij gaat het om een persoonsgegevens, zoals gegevens met betrekking tot ras, etniciteit, politieke opvattingen, genetische gegevens, seksueel gedrag, gegevens over gezondheid. Hierover bepaalt de AGV dat het verboden is deze te verwerken, tenzij wordt voldaan aan de specifiek in de AVG genoemde uitzonderingsmogelijkheden (daarover in een volgende bijdrage meer).
In de vorige zin staat het werkwoord “verwerken”. Wat houdt dat begrip precies in?
Bij het verwerken van persoonsgegevens in de zin van de AVG gaat het om: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens […] al dan niet uitgevoerd via automatische procedures”.
Het begrip ziet concreet op activiteiten zoals: ”verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzenden, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen” van persoonsgegevens. Een hele mond vol activiteiten dus, op grond waarvan het direct duidelijk is hoe breed het toepassingsbereik van de AVG in de praktijk eigenlijk is.
En wie is de zogeheten “verantwoordelijke” in de zin van de AVG?
Dat is degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze.
Zie artikel 4 lid 7 AVG: “natuurlijk of rechtspersoon […] die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt”. Op deze verantwoordelijke rusten allerlei verplichtingen van de AVG zoals, het wettelijk kader naleven, het beoordelen van de rechtmatigheid van de verwerking (is deze in overeenstemming met de AVG), het zorgen voor en het controleren van voldoende beveiliging en geheimhouding, het controleren van het recht op kennisneming of verwijdering en, bepaald niet onbelangrijk, de verplichting om een datalek bij de autoriteit persoonsgegevens te melden.
De “verantwoordelijke” moet onderscheiden worden van de “verwerker”. Dat is de natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.
En omdat de verantwoordelijke ervan uit moet kunnen gaan dat de ingeschakelde verwerker behoorlijk omgaat met persoonsgegevens (de AVG naleeft) – de verantwoordelijke draagt de verantwoordelijkheid als dat niet zo is – geeft de AVG de verplichting om afspraken te maken tussen de verantwoordelijke en de verwerker middels een zogeheten ”verwerkersovereenkomst.”
Tot zover een inleiding op de komst van de AVG.
Als u zich afvraagt wat de inwerkingtreding daarvan voor de eigen onderneming betekent of kan gaan betekenen, dan is kennis van het in deze bijdrage genoemde begrippenkader essentieel. In onze volgende blogs en nieuwsbrieven gaan wij hier dieper op in. Op de hoogte blijven? Meld u dan aan voor onze nieuwsbrief!