de wetgeving inzake gegevensbescherming in het Verenigd Koninkrijk is veranderd als gevolg van de Brexit. Hier vindt u de laatste richtlijnen.
onder de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties een beleid voor gegevensbewaring opstellen om hen te helpen bij het beheren van de manier waarop zij met persoonsgegevens omgaan.
als u gevoelige gegevens te lang bewaart – zelfs als ze veilig worden bewaard en niet worden misbruikt-kunt u nog steeds de vereisten van de verordening overtreden.
dat klinkt misschien te strikt, maar daar is een goede reden voor. In deze blog leggen we uit waarom dat het geval is, hoe het beleid voor het bewaren van gegevens werkt en hoe u er een kunt maken in overeenstemming met de vereisten van de AVG.
Wat is een beleid voor gegevensbewaring?
een beleid voor het bewaren van gegevens is een reeks richtlijnen die organisaties helpen bij te houden hoe lang informatie moet worden bewaard en hoe de informatie moet worden verwijderd wanneer deze niet langer nodig is.
het beleid moet ook het doel van de verwerking van de persoonsgegevens beschrijven. Dit zorgt ervoor dat u over gedocumenteerd bewijs beschikt dat uw bewaar-en verwijderingstermijnen rechtvaardigt.
doelstellingen
als u terugdenkt aan de paniek die voorafging aan de inwerkingtreding van de GDPR, zult u heel goed begrijpen waarom bewaartermijnen essentieel zijn.
organisaties die in jaren geen contact met ons hadden gehad, kwamen uit het hout om onze toestemming te vragen om onze gegevens te bewaren.
het liet zien hoe vaak onze records in de databases van de organisatie staan lang nadat we klaar zijn met het gebruik van hun diensten.
de organisatie wil de informatie niet kwijt, omdat het praktisch niets kost om Klantgegevens op te slaan, maar omdat het onnodig wordt blootgesteld aan veiligheidsrisico ‘ s.
er is maar één ongeluk nodig om de systemen van een organisatie te kraken, of het nu een cyberaanval is of een interne fout.
om de schade die datalekken kunnen veroorzaken te beperken, hebben de regelgevers bepaald dat in de EU gevestigde organisaties persoonsgegevens alleen mogen bewaren als er een legitieme reden is om deze te bewaren.
hoe lang kunnen persoonsgegevens worden opgeslagen?
ondanks de schijnbare strengheid van de bewaartermijnen van de AVG zijn er geen regels voor opslagbeperking.
organisaties kunnen in plaats daarvan hun eigen termijnen vaststellen op basis van de gronden die zij passend achten. De enige vereiste is dat de organisatie documenteert en motiveert waarom zij de termijn heeft vastgesteld die zij heeft.
het besluit moet gebaseerd zijn op twee belangrijke factoren: het doel van de verwerking van de gegevens en eventuele wettelijke of bestuursrechtelijke vereisten voor het bewaren ervan.
gegevens mogen niet langer worden bewaard dan nodig is en mogen niet worden bewaard ‘voor het geval dat’ u er in de toekomst behoefte aan hebt.
zolang een van uw doeleinden nog steeds van toepassing is, kunt u de gegevens blijven opslaan.
u dient ook rekening te houden met uw wettelijke en reglementaire vereisten om gegevens te bewaren. Wanneer de gegevens bijvoorbeeld onderworpen zijn aan belasting en audits, of om te voldoen aan gedefinieerde normen, zijn er richtlijnen voor het bewaren van gegevens die u moet volgen.
u kunt plannen hoe uw gegevens worden gebruikt en of ze nodig zijn voor toekomstig gebruik door een gegevensstroomkaart te maken. Dit proces is ook nuttig als het gaat om het lokaliseren van gegevens en het verwijderen van het zodra uw bewaartermijn verloopt.
er zijn twee manieren waarop u data retentie deadlines kunt vermijden. De eerste is het anonimiseren van gegevens; dit betekent dat de informatie niet kan worden gekoppeld aan een identificeerbare betrokkene.
als uw gegevens geanonimiseerd zijn, kunt u ze op grond van de AVG zo lang bewaren als u wilt.
u moet echter voorzichtig zijn als u dit doet. Als de informatie kan worden gebruikt naast andere informatie die de organisatie heeft om een individu te identificeren, dan is deze niet voldoende geanonimiseerd.
u kunt de termijnen voor het bewaren van gegevens ook omzeilen als de informatie wordt bewaard voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden.
wat te doen met gegevens na de bewaarperiode
wanneer de termijn voor het bewaren van gegevens afloopt, hebt u twee opties: Verwijderen of anonimiseren.
als u ervoor kiest om de gegevens te verwijderen, moet u ervoor zorgen dat alle kopieën zijn weggegooid. Om dit te doen, je nodig hebt om uit te vinden waar de gegevens worden opgeslagen. Is het een digitaal bestand, op papier of beide?
het is gemakkelijk om papieren gegevens te wissen, maar digitale gegevens laten vaak een spoor achter en kopieën kunnen zich bevinden in vergeten bestandsservers en databases.
om te voldoen aan de GDPR, moet u de gegevens ‘buiten gebruik’zetten. Alle kopieën van de gegevens moeten worden verwijderd uit live-en back-up systemen.
Hoe maak je een beleid voor gegevensbewaring
uw beleid voor gegevensbewaring moet deel uitmaken van uw algehele documentatieproces voor informatiebeveiliging.
de eerste stap is om een volledig beeld te krijgen van precies welke gegevens u verwerkt, waarvoor deze worden gebruikt en welke regelgeving van toepassing is op uw bedrijf.
deze voorschriften omvatten, maar zijn niet noodzakelijkerwijs beperkt tot, de AVG. Als u bijvoorbeeld de debet-of creditcardgegevens van personen verwerkt, kunt u onderworpen zijn aan de PCI DSS (Payment Card Industry Data Security Standard).
ook als u van plan bent te voldoen aan ISO 27001, de internationale norm die de beste praktijken voor informatiebeveiliging beschrijft, moet u rekening houden met de eisen ervan.
deze vereisten bepalen welke informatie in uw beleid moet worden opgenomen en welke regels het moet volgen.
een eenvoudig gegevensbewaring beleid zal zich richten op:
- de soorten informatie waarop het beleid betrekking heeft
verschillende soorten informatie zijn onderworpen aan verschillende regels, dus u moet een register bijhouden van welke gegevens u verwerkt – of dat nu namen, adressen, contactgegevens, financiële gegevens, enzovoort.
- hoe lang u het recht hebt om informatie te bewaren
klanten zijn soms verbaasd als we hen vertellen dat de AVG geen specifieke termijnen voor het bewaren van gegevens bevat. De duur van het bewaren van bepaalde gegevens is een subjectieve beslissing die u moet nemen op basis van uw redenen voor de verwerking van de gegevens.
- wat moet u doen met gegevens wanneer deze niet langer nodig zijn
regelmatig verwijderen van onnodige gegevens vermindert ook de hoeveelheid gegevens die u moet doorgronden om te voldoen aan verzoeken om toegang tot het onderwerp. Het vermindert ook de kosten van opslag en documentbeheer.
Als u uw gegevensbewaring beleid regelmatig doorleest, kunt u dubbele en verouderde bestanden opschonen en verwijderen om verwarring te voorkomen en alle noodzakelijke zoekopdrachten te versnellen.
Probeer onze beleidssjabloon voor gegevensbewaring
het creëren van een beleid voor gegevensbewaring kan een ontmoedigende taak lijken, maar met onze GDPR-Toolkit wordt het proces eenvoudig gemaakt.
het bevat alles wat u nodig hebt om te voldoen aan de verordening, inclusief een GDPR-beleidssjabloon dat Britse organisaties kunnen gebruiken om uw aanpak van naleving te formaliseren en tegelijkertijd tijd en geld te besparen.
deze toolkit bevat ook:
- een Gap Analysis Tool die u kunt gebruiken om uw algemene compliance praktijken te meten;
- richtlijnen voor het invullen van uw documentatievereisten, met sjablonen over pseudonimisering, minimalisering en encryptie, om er maar een paar te noemen;
- een rollen en verantwoordelijkheden matrix om u te helpen begrijpen wie toezicht houdt op bepaalde taken en functies.
een versie van deze blog werd oorspronkelijk gepubliceerd op 12 November 2018.