Ga naar de inhoud

Bewaartermijnen

Het organiseren van de bewaartermijnen van (persoons)gegevens is voor de bedrijfsorganisatie een uitdaging. Het adagium van “beter mee verlegen dan om verlegen” is met de AVG geen houdbaar uitgangspunt. Het bewaren (een vorm van verwerken) van persoonsgegevens moet ook een grondslag hebben. Als deze ontbreekt dan zijn de gegevens over hun houdbaarheidsdatum en moeten deze gegevens vernietigd worden. Blijkt bij een incident of een datalek dat deze gegevens niet zijn vernietigd dan draagt de verwerkingsverantwoordelijke de verantwoordelijkheid én de aansprakelijkheid van de onrechtmatige verwerking (bewaring).

Voor elke verwerking van persoonsgegevens stelt de verwerkingsverantwoordelijke de bewaartermijn vast. Het aangeven van de bewaartermijn vloeit voort uit de aard en omvang van de verwerking of de afspraken die de verwerkingsverantwoordelijke en betrokkene hebben gemaakt over het verwerken de persoonsgegevens van de betrokkene.

Dit is een praktische cursus. De privacy-coördinatoren gebruiken de Privacy, Security en Compliance administratie (PSCa) stellen voor de verwerkingen een selectielijst op en beoordelen of de bewaartermijnen die gelden voor de verschillende verwerkingen van persoonsgegevens voldoen aan de eisen van de AVG. Ook formuleren zij wat de eisen zijn die vanuit privacywetgeving aan het bewaren en vernietigen van gegevens worden gesteld. Dit is van belang in het kader van aanbestedingsprocedures voor de aanschaf of ontwikkeling van informatiesystemen die moeten voldoen aan de ontwerpprincipes van “privacy by design” en “privacy by default”. De deelnemers beoordelen of de procedures en maatregelen voldoende zijn om te bewerkstelligen dat persoonsgegevens niet langer bewaard worden dan noodzakelijk voor de doeleinden waarvoor zij worden verzameld en verwerkt en dus tijdig worden vernietigd.

Als het beschermen van persoonsgegevens daadwerkelijk vanuit het perspectief van de betrokkene wordt gefaciliteerd zullen overeenkomsten tussen de verwerkingsverantwoordelijke en betrokkene regels over bewaartermijnen bevatten. Wij bespreken dergelijke scenario’s en geven aan wat de impact is op het organiseren van bedrijfsprocessen en ondersteunende IT-systemen.

Het organiseren van de bewaartermijnen is essentiële operationele activiteiten voor het effectief organiseren van het beschermen van persoonsgegevens in het algemeen en specifiek in de relatie tot betrokkenen.

Introductie van de docenten:

Category:

Doelgroep

De bedrijfsleiding gebruikt het register van verwerkingen (Privacy, Security en Compliance administratie, PSCa) voor het ontwikkelen van een bewaarbeleid voor categorieën bedrijfs- en persoonsgegevens. Deels wordt dit beleid beïnvloed door generieke en sectorale wetgeving (bijvoorbeeld fiscale- en gezondheidswetgeving). Op basis van het bewaarbeleid formuleert de compliance manager compliance verplichtingen en aandachtspunten die aanleiding geven voor controledoelstellingen en beheers-, beveiligings-, en controlemaatregelen die opgenomen worden in de bedrijfsprocessen. Bij het formuleren van de maatregelen is het management en de CISO betrokken.

In het beleid formuleert de bedrijfsleiding wat vernietigen van (persoons)gegevens betekent. Soms is het niet mogelijk gegevens te vernietigen en zal het vernietigen niet verder gaan dan het ontzeggen van de toegang tot de gegevens doormiddel van bijvoorbeeld toegangs- of encryptiemanagement. De FG, in overleg met de CISO en juristen, beoordeelt in hoeverre het beleid leidt tot compliance met wettelijke en contractuele verplichtingen.

Als de verwerkingsverantwoordelijke gebruikt maakt van de grondslag overeenkomst en toestemming dan zal het voor de betrokkene duidelijk moeten zijn hoe de verwerkingsverantwoordelijke de bewaartermijnen operationaliseert.

Doelen

Wij nemen de cursist mee hoe het bewaren en het vernietigen van persoonsgegevens in goede banen kan worden geleid. Wij hebben een duidelijk wettelijk kader en een uitleg in guidelines. De overheidsorganisaties kennen de meeste regels op het gebied van bewaren en vernietigen van gegevens en wij maken hiervan gebruik, door de procedures te beschouwen als ‘best practice’.

Bij de overheid is de bewaring van archiefdocumenten of archiefbestanden voor enige tijd of voor altijd neergelegd in de selectielijsten door de Archiefwet. Het bedrijfsleven moet de bewaartermijn van de archiefdocumenten zelf vastleggen. Tenzij de Archiefwet of een andere wet van toepassing is, zijn aan de persoonsgegevens in een archief geen bewaartermijnen verbonden. Die gegevens moeten daarom verwijderd worden, zodra zij hun belang voor de archiefbestemming hebben verloren. Het is ook mogelijk te besluiten de gegevens te vernietigen in plaats van ze in een archief op te nemen en als ze dan wel in een archief worden opgenomen moet er ook bewaard en dus beheerd worden. Wat moet je hier allemaal voor doen en hoe organiseer je het?

Compliant zijn met de bewaartermijn vereisten vraagt een “compliance by design” -aanpak zoals wij dat ook hebben uitgewerkt bij “privacy by design”.

Cursuscategorie organiseren van bedrijfsactiviteiten

Het effectief organiseren van het toepassen van de bewaartermijnen van categorieën van (persoons)gegevens helpt het bedrijf het gegevensbeheer op orde te houden. De toezichthouder heeft het opslaan van gegevens duur gemaakt omdat de verwerkingsverantwoordelijke moet zorgen dat de gegevens actueel, betrouwbaar en beschikbaar zijn voor de betrokkene en het bedrijf die afgesproken verwerkingen met de gegevens mag uitvoeren.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma materieel en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een bedrijfskundige, juridische en IT-achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of selecteren en/ of ontwerpen en bouwen van IT-systemen).

Aanmelding en investering

Duthler Academy biedt een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga naar het overzicht met de programma’s en categorieën van cursussen.

Gerelateerde Opleidingen