Bij het verkopen en leveren van producten of diensten worden veel persoonsgegevens verzameld. Verwerkt uw organisatie deze persoonsgegevens? Dan dient u aan een aantal regels te voldoen. Uw (potentiële) klanten willen uiteraard graag dat u zorgvuldig met hun gegevens omgaat.

Het bewaren van persoonsgegevens is een vorm van verwerken. Hier hangen strenge regels en wetten aan vast. Aan welke regels dient uw organisatie zich te houden als het gaat om het bewaren van persoonsgegevens?

In dit artikel ontdekt u aan welke regels en eisen u moet voldoen als het gaat om het bewaren van persoonsgegevens. We staan hiervoor stil bij de volgende onderwerpen en regels:

  • Doel en rechtsgrondslag
  • Bewaartermijnen
  • Passende beveiliging
  • Toegang voor onbevoegden

Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? Een ISO 27001 certificering toont aan dat u uw informatiebeveiliging op orde hebt. Hulp nodig? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Download hem gratis!

Lees verder onder de afbeelding.

Persoonsgegevens bewaren - Man achter laptop, maakt gebruik van zijn handen om iets duidelijk te maken

Doel en rechtsgrondslag

Persoonsgegevens verwerken is een breed begrip. Het verwerken omvat veel meer dan alleen het opslaan van gegevens in een database of CRM systeem. Het betreft bijvoorbeeld ook gegevens in een archiefmap in de kast of een lijst op een telefoon. In al deze voorbeelden worden gegevens opgeslagen en bewaard en dus verwerkt.

Voordat uw organisatie gegevens gaat opslaan, verwerken of verstrekken dient er nagedacht worden of uw organisatie überhaupt toestemming heeft om dit te mogen doen. Een organisatie dient een geldige rechtsgrondslag te hebben voordat zij gegevens mag opslaan. Onder rechtsgrondslagen vallen uitsluitend de volgende mogelijke opties:

  • Toestemming: De betrokkene dient toestemming te hebben gegeven;
  • Uitvoering overeenkomst: Er dient een overeenkomst te zijn tussen de betrokkene en de betreffende organisatie;
  • Wettelijke verplichting: Er is sprake van wettelijke verplichting rondom het verwerken van gegevens;
  • Publiekrechtelijke taak: Het opslaan is op basis van een publiekrechtelijke taak, denk aan de overheid;
  • Vitaal belang: Er is sprake van vitaal belang voor de betrokkene zelf;
  • Gerechtvaardigd belang: Er is sprake van gerechtvaardigd belang van de organisatie.

Bewaartermijnen

Heeft uw organisatie de benodigde rechtsgrondslag om persoonlijke gegevens te verwerken en bewaren? Dan dient u rekening te houden met bewaartermijnen. De betrokkene dient van de toegepaste bewaartermijn op de hoogte te kunnen zijn. Dit kan door bijvoorbeeld een privacyverklaring beschikbaar te hebben op de website waarin de toegepaste bewaartermijn wordt vermeld.

In sommige gevallen zijn bewaartermijnen wettelijk bepaald. Hierbij is er onderscheid te maken tussen de minimale bewaartermijnen en de maximale termijnen. U dient zelf vast te stellen welke termijn voor u van belang is in iedere situatie. Ook dient u deze daadwerkelijk toe te passen.

Enkele wettelijke bewaartermijnen

Enkele voorbeelden van wettelijke bewaartermijnen:

Gegevens

Minimale bewaar-termijn

Maximale bewaar-termijn

Ingangsdatum bewaartermijn

Vastgelegd in

Sollicitatiebrieven, - formulieren, correspondentie omtrent de sollicitatie, getuigschriften en verklaring omtrent gedrag

 

4 weken zonder (expliciete) toestemming, 1 jaar met toestemming van de sollicitant

Na beëindiging sollicitatie-procedure

Artikel 5 en 6 Vrijstellingsbesluit Wet Bescherming Persoonsgegevens (WBP) *

Arbeidsovereenkomst en wijzigingen

 

1 jaar

Na einde dienstverband

Artikel 52 Wet Rijksbelastingen

Arbo gegevens

10 jaar

Op verzoek werknemer (kan voor de minimale termijn)

Na vastlegging

Artikel 7 Wet op de Geneeskundige Behandelings-overeenkomst (WGBO)

Patiëntgegevens

20 jaar

 

Vanaf datum vervaardiging (of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit)

artikel 7 Wet op de Geneeskundige Behandelings-overeenkomst (WGBO)

Ledenadministratie

 

2 jaar

Na beëindiging lidmaatschap

Tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. 

* Vervallen maar geldt nog als referentiekader.

Passende beveiliging

Bij het bewaren van persoonsgegevens geldt dat er een passende beveiliging dient te zijn. Ook hierbij is digitale hygiëne van toepassing. Denk hierbij aan:

  • Encryptie van de opslag (om de toegang te beperken bij het verlies van data, et cetera);
  • Back-up en restore (bij mogelijk verlies);
  • Antivirus/malware (denk aan het voorkomen van ransomware);
  • Toegangsbeveiliging (wie mag er bij de data komen en vooral, wie niet?).

Toegang voor onbevoegden

Het is van essentieel belang dat onbevoegden niet bij de persoonsgegevens kunnen komen. Hier dient een goede beveiliging voor van toepassing te zijn. Indien onbevoegden onrechtmatig aan deze gegevens zijn gekomen, is er sprake van een beveiligingsincident ofwel datalek.

In sommige situaties is het wel toegestaan voor derden om toegang te hebben tot deze gegevens. Echter dienen hier geldige afspraken over gemaakt te worden op basis van een goede verwerkersovereenkomst.

Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? Een ISO 27001 certificering toont aan dat u uw informatiebeveiliging op orde hebt. Hulp nodig? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Download hem gratis!

Download nu het ISO 27001 e-book

Wij helpen bedrijven met hun digitale veiligheid