Bewaartips AVG voor preventiemedewerkers

Beleid en overheid
Achtergrondartikel
Bewaartips AVG

Sinds de Algemene verordening gegevensbescherming (AVG) van toepassing is, moet je voldoen aan verscherpte eisen ten aanzien van de privacyregelgeving. Welke eisen worden er gesteld aan het bewaren van persoonsgegevens en hoe lang mogen ze worden bewaard?

De Algemene Verordening gegevensbescherming (AVG) is op 25 mei 2018 van toepassing geworden op de hele Europese Unie. De aandachtspunten AVG beschreven we al eerder in een artikel.

Wat zijn persoonsgegevens?
Persoonsgegevens zijn, zo volgt uit de definitie van de AVG (artikel 4): ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene")’.

Het gaat dus om gegevens die herleidbaar zijn naar een ‘betrokkene’, de persoon van wie de gegevens verwerkt worden. Naast naam- en adresgegevens kan dat bijvoorbeeld ook gaan om medische data, klantprofielen en locatiegegevens.

Vereisten voor het bewaren
Om een goede administratie te kunnen voeren kan het voor een bedrijf nodig zijn om persoonsgegevens een tijd te bewaren. Er gelden een aantal vereisten voor het bewaren van persoonsgegevens op grond van de AVG:

  • Vooraf dient te worden vastgesteld hoe lang de persoonsgegevens bewaard worden;
  • De betrokkene dient te worden geïnformeerd over deze termijn;
  • Na het verstrijken van de bewaartermijn moeten de persoonsgegevens ook echt vernietigd worden;
  • Er moet (vrijwel altijd) een verwerkingsregister worden opgesteld.

Vereisten voor een verwerkingsregister
Het verwerkingsregister is bedoeld om inzichtelijk te maken welke persoonsgegevens, met welk doel, hoe lang en door wie worden gebruikt. Heeft een organisatie meer dan 250 medewerkers? Dan is het verwerkingsregister verplicht. Bij een organisatie met minder dan 250 medewerkers moet er een verwerkingsregister worden opgesteld wanneer er vaker dan op incidentele basis persoonsgegevens worden verwerkt, persoonsgegevens worden verwerkt die een hoog risico inhouden voor de betrokkenen, óf bijzondere persoonsgegevens worden verwerkt (bijvoorbeeld gegevens over godsdienst, gezondheid, politieke voorkeur of strafrechtelijke gegevens).

De AVG schrijft voor dat het register moet bestaan uit de volgende onderdelen:

  • Contactgegevens, de naam en contactgegevens van de eigen organisatie en de eigen Functionaris voor de Gegevensbescherming (FG).
  • Categorieën van betrokkenen van wie gegevens worden verwerkt (bijvoorbeeld personeel of klantgegevens).
  • Categorieën van persoonsgegevens (bijvoorbeeld: administratieve gegevens, medische gegevens, camerabeelden).
  • De bewaartermijnen.
  • Categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt.
  • Het doel van de verwerking van deze gegevens.

Maatregelen (een beschrijving van de technische en organisatorische maatregelen die zijn genomen om de verwerking van de persoonsgegevens te beveiligen).

De Apothekersorganisatie KNMP heeft voor een (fictieve) apotheek een voorbeeld van een verwerkingsregister opgesteld.

Hoe lang mag je gegevens bewaren?
Maar hoe lang mogen de gegevens nu precies worden bewaard? De AVG geeft geen concrete bewaartermijnen, maar zegt slechts dat een persoonsgegeven enkel zo lang bewaard mag worden als  nodig is voor de doeleinden waarvoor het is verzameld.

De norm van ‘het mogen bewaren van de persoonsgegevens voor zolang nodig’ is een vrij open norm.  Er kan daarom geen eenduidig antwoord worden gegeven op de vraag welke bewaartermijn moet worden gehanteerd. Er dient een belangenafweging gemaakt te worden tussen het doel van het verwerken en een mogelijk (negatief) gevolg voor de betrokkene.

De volgende checklist kan bij deze afweging behulpzaam zijn:

  • Wanneer is het doel waarvoor de gegevens verzameld worden behaald?
  • Zijn de gegevens, wanneer het doel is behaald, nog nodig? Levert het langer bewaren een grotere inbreuk op ten aanzien van het recht op privacy van de betrokkene?
  • Kunnen de gegevens worden geanonimiseerd (zo ja, dan kunnen zij langer bewaard worden, want zij zijn dan niet meer direct herleidbaar naar de persoon)?
  • Kan de betrokkene ook tijdens de langere bewaartermijn toegang gegeven worden tot de gegevens?
  • Is er een wettelijke bewaartermijn?

Hoe lang mag je een handtekening bewaren ivm civiele aansprakelijkheid?
Het bewaren van gegevens om je te kunnen verdedigen in een civiele procedure zou je als reden kunnen nemen om een lange(re) bewaartermijn te hanteren. Gebruikelijk is dan vijf jaar (de 'algemene' verjaringstermijn), maar ook twintig  jaar is (zelfs) te verdedigen.

Hoe lang mag je geanonimiseerde verzuimgegevens en ongevallenregistraties bewaren?
Geanonimiseerde groepsgegevens zoals verzuimgegevens, ongevallenregistraties en dergelijk vallen, zodra zij niet meer tot een persoon te herleiden zijn, niet meer onder het begrip 'persoonsgegevens' en mogen dus lang(er) worden bewaard.

Vrijstellingsbesluit Wbp
In het vrijstellingsbesluit Wbp werden een aantal bewaartermijnen genoemd. Het besluit is (met de Wbp) komen te vervallen, maar de termijnen kunnen nog wel als richtlijn worden gebruikt.

Soort gegevens Bewaartermijn o.g.v. vrijstellingsbesluit
Verzuimbeheer  2 jaar
Beveiligingscamera's 4 weken 
Bezoekersregistratie 6 maanden 
Gegevens over gerechtelijke procedures 2 jaar 

Wettelijke bewaartermijnen
De AVG geeft dus geen duidelijke bewaartermijn, maar het kan zijn dat er een andere wet wèl in een specifiek geval een bewaartermijn voorschrijft. Hieronder staat van een aantal gegevens de wettelijke bewaartermijn weergegeven.

Soort gegevens Bewaartermijn Grondslag
Arbeidsovereenkomst (na beëindiging van de arbeidsovereenkomst) 2 jaar  Wet op de Rijksbelastingen
Loonadministratie en identiteitsbewijzen werknemers 7 jaar Wet op de Rijksbelastingen
Debiteuren- en crediteurenadministratie 7 jaar Wet op de Rijksbelastingen
Gegevens over contact met gevaarlijke stoffen 3 - 42 jaar Arbeidsomstandighedenbesluit 
Patiëntendossier 15 jaar Wet op de Geneeskundige Behandelingsovereekomst

Conclusie
Het is lastig om heel concreet te maken wat dit nu precies voor een preventiemedewerker zal betekenen. De AVG zèlf is niet heel concreet en de Autoriteit Persoonsgegevens heeft evenmin heel duidelijke richtlijnen opgesteld. Wat betreft de bewaartermijnen is het vooral erg belangrijk dat goed wordt gemotiveerd waaróm iets wordt bewaard voor een bepaalde termijn. Als er een wettelijke grondslag is, is dit gemakkelijk. Bijvoorbeeld het contact met gevaarlijke stoffen: hier geeft het Arbeidsomstandighedenbesluit termijnen voor. Zie bijvoorbeeld artikel 4.10c Arbobesluit, wat betreft de bewaartermijn van het arbeidsgezondheidskundig onderzoek na blootstelling aan gevaarlijke stoffen (40 jaar). Ratio hierachter is dat ziekteverschijnselen zich pas na een lange tijd kunnen voordoen. Is er geen wettelijke basis, dan zal van geval tot geval bekeken moeten worden hoe lang de gegevens bewaard worden.

Meer lezen over de AVG
Aandachtspunten nieuwe privacywet (AVG)
De AVG komt eraan - de belangrijkste wijzigingen op een rij

Lees meer op overzichtspagina Preventie