Details stap 4 | eblinc-avg

Veranderen de bewaartermijnen onder de AVG?

Nee. Zodra de Algemene verordening gegevensbescherming (AVG) van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking. Bewaartermijnen vastleggen en mensen informeren Hoe lang u gegevens mag bewaren, verschilt per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen: - U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. U legt de bewaartermijn of de criteria vast in een bewaarbeleid. - U neemt de bewaartermijnen ook op in uw register van verwerkingen. - U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website. Langere bewaartermijn Verwerkt u persoonsgegevens voor het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden? Dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking. Let op: dat mag alleen als u technische en organisatorische maatregelen neemt om de privacy van de betrokkenen zo goed mogelijk te beschermen. Een voorbeeld van zo’n maatregel is dataminimalisatie. Dat betekent dat u zo min mogelijk persoonsgegevens verzamelt en verwerkt.

Privacy Impact Assessment
Na invoering van de AVG bestaat de mogelijkheid dat u als kantoor voor één of meerdere gegevensverwerkingen een PIA moet uitvoeren. Een PIA is alleen verplicht als u als kantoor een gegevensverwerking heeft met een grote hoeveelheid bijzondere persoonsgegevens en daardoor een hoog privacyrisico kan opleveren voor de klant. Als voorbeelden noemt de Autoriteit Persoonsgegevens op dit moment bijvoorbeeld een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden. Daarnaast hebben de gezamenlijke Europese toezichthouders aangegeven dat verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig worden beschouwd.

De vraag is nu waar u zich als kantoor mee mag vergelijken en of een PIA voor u verplicht is. Omdat ook de Europese privacytoezichthouders zien dat veel organisaties worstelen met de term “een gegevensverwerking heeft met een grote hoeveelheid bijzondere persoonsgegevens die een hoog privacyrisico kan opleveren”, is de verwachting dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal bijzondere persoonsgegevens verwerkt en dus een FG moet aanstellen en een PIA moet uitvoeren. De Autoriteit Persoonsgegevens geeft aan te informeren zodra er meer bekend is hieromtrent.