Print:

Persoonsgegevens bewaren: vier must-do’s voor AVG-compliance

Jean Paul van Schoonhoven, Chief Privacy Officer / Directeur

LinkedIn profiel

Met de komst van de Algemene verordening gegevensbescherming (AVG) zijn de privacyrechten van burgers versterkt. De Europese privacywet introduceert bijvoorbeeld het recht op vergetelheid. Jean Paul van Schoonhoven van Legal2Practice geeft tips om persoonsgegevens AVG-proof te bewaren. “Ga niet te snel zware procedures optuigen.”

“Alle aandacht voor de AVG heeft het bewustzijn van privacyrechten flink vergroot. Ook het inzagerecht en de regels voor maximale bewaartermijnen van persoonsgegevens zijn bij organisaties goed op kaart komen te staan – misschien wel beter dan in de zeventien jaar dat de Wet bescherming persoonsgegevens (Wbp) van kracht was”, zegt Jean Paul van Schoonhoven, directeur van Legal2Practice en docent van diverse IIR-trainingen over dataprotectie. Hij verzorgt tijdens het Dataprotectie en Privacy Congres op 26 en 27 september 2018 een sessie over rechten van betrokkenen, in het bijzonder over het recht op vergetelheid en de maximale bewaartermijnen van persoonsgegevens.

Dataprotectie & Privacy congres | IIRHet recht op vergetelheid, dat is opgenomen in artikel 17 van de AVG, lijkt op het eerste gezicht op het recht op correctie en verwijdering uit de Wbp. Maar het recht op vergetelheid gaat een stap verder omdat het niet meer – zoals vroeger – beperkt is tot het verwijderen van onjuiste, onvolledige of irrelevante gegevens. De AVG noemt maar liefst 6 situaties waarin een organisatie verplicht is om persoonsgegevens van een betrokkene te wissen als diegene daarom vraagt.

“Organisaties zijn in toenemende mate doordrongen van de reikwijdte van het recht op vergetelheid en de potentiële impact daarvan op de organisatie. Wat zou er gebeuren als al je klanten een inzageverzoek doen en vervolgens bezwaar maken tegen de verwerking van hun persoonsgegevens?”, vraagt Van Schoonhoven retorisch. Vier tips om als organisatie goed voorbereid te zijn op betrokkenen die gebruik maken van hun rechten.

Weet wat je in huis hebt

“Een basisvoorwaarde om privacyrechten van betrokkenen te kunnen waarborgen is dat de organisatie op de hoogte is van de persoonsgegevens die worden verwerkt en bewaard”, vertelt Van Schoonhoven. Dat klinkt misschien vanzelfsprekend of eenvoudig, maar kan in de praktijk best ingewikkeld zijn. “Veel organisaties verwerken grote hoeveelheden informatie, waarvan een deel ongestructureerde data is. Denk aan gegevens in mailboxen, sharepoint, afdelingsschijven en back-upsystemen. Daardoor weet je soms niet eens welke persoonsgegevens er precies in huis zijn.”

Een bijkomend probleem is dat de definitie van een persoonsgegeven niet kristalhelder is. “Wat een tot een natuurlijke persoon herleidbare informatie is, is sterk contextafhankelijk. Terwijl je wel precies moet weten welke informatie over een betrokkene persoonsgegevens zijn om te kunnen voldoen aan diens rechten.”

Let op de IT

Van Schoonhoven merkt dat organisaties zich steeds meer bewust zijn dat al tijdens de ontwikkeling en het beheer van IT-systemen rekening kan worden gehouden met maximale bewaartermijnen. Maar het is soms knap ingewikkeld om persoonsgegevens geautomatiseerd te archiveren en verwijderen. “Een ziekenhuis heeft de persoonsgegevens van cliënten primair in het elektronisch patiëntendossier staan. Maar de gemiddelde verzekeringsmaatschappij houdt soms letterlijk honderden verschillende IT-systemen in de lucht, bijvoorbeeld met oude, maar nog niet verlopen polissen. Bij pensioenfondsen speelt dat probleem natuurlijk vaak nog veel sterker vanwege de lange loopduur van pensioenpolissen.”

De diversiteit aan IT-systemen maakt naleving van de AVG-richtlijnen voor bewaartermijnen dan ook een zaak van de lange adem, waarschuwt Van Schoonhoven. “Een verandering in IT-systemen kost vaak veel tijd, vooral bij organisaties waar de IT-capaciteit soms al maanden van tevoren is ingepland.

Bovendien is geautomatiseerde verwijdering soms technisch helemaal niet mogelijk. In dat geval wordt wel eens gekozen voor een alternatieve oplossing zoals compartimentering, waarbij gearchiveerde gegevens technisch en beleidsmatig worden afgescheiden van informatie die nog actief wordt gebruikt. Maar dat is vanuit het perspectief van compliance niet altijd de beste oplossing.”

Wees pragmatisch

Het recht van burgers om hun persoonsgegevens in te zien én er een kopie van te ontvangen leidt bij organisaties nog wel eens tot hoofdbrekens. “Ga niet te snel zware procedures optuigen om na een verzoek te proberen alle specifieke informatie over een betrokkene te verzamelen en deze in kopie te verstrekken. In sommige gevallen is een overzicht van categorieën van persoonsgegevens al voldoende om op een eerste verzoek te reageren.

Op basis van dit overzicht kan een betrokkene dan eventueel een gerichtere vraag stellen”, adviseert Van Schoonhoven. “Natuurlijk moet je kunnen voldoen aan de voorwaarden en termijnen die de AVG noemt. Maar het is onnodig om meteen door te slaan met verregaande, kostenintensieve maatregelen, alleen maar uit angst dat een betrokkene een klacht indient bij een geschillencommissie, de Autoriteit Persoonsgegevens (AP) of een rechtbank.”

Van Schoonhoven geeft het voorbeeld van organisaties die tot in detail willen regelen hoe ze onmiddellijk na een inzageverzoek alle mailboxen en andere IT-systemen kunnen leeghalen om de gevraagde informatie te overhandigen. “Dat levert een enorme administratieve rompslomp op. Ga liever eerst in gesprek met de verzoeker. Je kunt een betrokkene best vragen of die iets specifieks wil weten, zodat je gericht in de systemen naar relevante informatie kunt zoeken.”

Aangezien de afhandeling van een enkel inzageverzoek een organisatie al snel duizend euro aan directe en indirecte kosten oplevert, adviseert Van Schoonhoven om gebalanceerd met het inzagerecht en recht op vergetelheid om te gaan. “Zo lang er nog geen andersluidende dwingende uitspraken van de rechter of AP zijn, zou ik niet altijd tot het uiterste gaan om alle persoonsgegevens met een druk op de knop perfect opvraagbaar en kopieerbaar te maken. Bij complexe verzoeken kan je een betrokkene bijvoorbeeld gerust uitstel vragen.”

Plaats het in het juiste perspectief

“De AVG is bedoeld om binnen Europa een gelijk speelveld te creëren, niet om organisaties op te zadelen met buitensporige administratieve lasten. Houd daarom de basispijlers van de wet – transparantie over gegevensverwerkingen en rechten van betrokkenen – in het oog en beschouw concrete maatregelen over bijvoorbeeld bewaartermijnen steeds als afgeleide daarvan”, zegt Van Schoonhoven.

Zo’n perspectief helpt om het belang en de impact van privacyrechten van betrokken goed in te schatten. “Het recht op vergetelheid en de regels over bewaartermijnen zijn eigenlijk communicerende vaten: als je een goed bewaartermijnenbeleid hebt dan voldoe je al grotendeels aan het recht op vergetelheid. Het principe van communicerende vaten geldt ook bij de informatieplicht en het inzagerecht: je moet weten wat je in huis hebt om betrokkenen inzage te kunnen geven. Uiteindelijk staat of valt AVG-compliance met inzicht in de datahuishouding en met wat je met persoonsgegevens wil, mag of moet.”

Jean Paul van Schoonhoven is een van de sprekers tijdens het tweedaagse Dataprotectie & Privacy Congres op 26 en 27 september 2018 in Amsterdam. Bekijk het volledige programma en boek tickets op de website van IIR.

Dataprotectie & Privacy Congres | IIR

 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten