blog

    BSN, bewaartermijnen en verwerkingsregister onder de nieuwe privacyregelgeving

    Monique Hennekens
    Monique HennekensPublicatiedatum: 29 juni 2017
    BSN, bewaartermijnen en verwerkingsregister onder de nieuwe privacyregelgeving

    Vanaf 25 mei 2018 zullen alle organisaties moeten voldoen aan de nieuwe Europese privacy regels uit de Algemene Verordening Gegevensbescherming (AVG). In de maand juni kon iedereen vragen stellen over deze nieuwe regels aan de Autoriteit Persoonsgegevens. De meest gestelde vragen van deze week gaan over BSN, bewaartermijnen en het verwerkingsregister.  

    Blijft het BSN een bijzonder persoonsgegeven

    De eerste vraag van de week is of het Burger Service Nummer (BSN) ook onder de AVG een bijzonder persoonsgegeven is. Momenteel is dat zo en is het verwerken van BSN daarom aan strikte regels gebonden. In de tekst van de AVG is het BSN niet opgenomen bij de bijzondere persoonsgegevens. Dat neemt niet weg dat de lidstaten van de EU zelf nadere voorwaarden mogen stellen aan de verwerking van het BSN. Als de AVG van toepassing wordt vervalt de Wet bescherming persoonsgegevens. Wel komt er de zogenaamde Uitvoeringswet met nationale regels die gelden bovenop de AVG. In de eerste consultatieversie van deze wet stond te lezen dat er geen veranderingen te verwachten zijn voor de verwerking van het BSN. Dat betekent dat de strikte regels blijven gelden en je goed moet opletten met het gebruik van een BSN. Zie daarvoor mijn eerdere artikel.

    Hoe lang mogen persoonsgegevens bewaard worden?

    De tweede vraag ziet op de bewaartermijnen van persoonsgegevens. Het uitgangspunt blijft dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel van de verwerking. Dat is een vaag begrip, maar er bestaan wel handvatten. Zo dienen algemene documenten uit personeelsdossiers, zoals functioneringsverslagen en schriftelijke afspraken, in principe twee jaar na uitdiensttreding te worden vernietigd, tenzij er een duidelijke reden is om die gegevens langer te bewaren. Salarisgegevens, kopie ID bewijs en loonbelastingverklaringen  dienen daarentegen 7 jaar bewaard te worden op grond van de fiscale bewaarplicht. Dit verandert niet onder de AVG. Je dient echter wel:

    • de bewaartermijnen of de criteria daarvoor vast te leggen in een schriftelijk bewaarbeleid;
    • de bewaartermijnen of criteria op te nemen in het verplichte verwerkingsregister;
    • de betrokkenen te informeren over de bewaartermijnen, bijvoorbeeld in een privacyverklaring.

    Onder bepaalde omstandigheden is het geoorloofd om gegevens langer te bewaren, bijvoorbeeld voor onderzoek of om statistische redenen. Je moet dan wel extra maatregelen nemen om de privacy van betrokkenen zo goed mogelijk te beschermen, zoals bijvoorbeeld het pseudonimiseren van de persoonsgegevens.

    Sjabloon voor een verwerkingsregister

    Er is veel vraag naar een sjabloon voor het vereiste verwerkingsregister. De Autoriteit Persoonsgegevens zal geen sjabloon maken. Een verwerkersregister dient te voldoen aan de eisen uit artikel 30 AVG. Als je de doelen en middelen bepaalt van de gegevensverwerking (zoals bijvoorbeeld bij jouw CRM systeem) dan zul je voor die verwerking in ieder geval de volgende gegevens in het verwerkingsregister moeten opnemen:

    • uw naam en contactgegevens en (indien die er is) van de functionaris voor de gegevensbescherming (privacy officer);
    • de doeleinden waarvoor de persoonsgegevens worden verwerkt;
    • een beschrijving van de groep(en) personen waar de gegevens betrekking op hebben en van de categorieën van persoonsgegevens (NAW gegevens, medische gegevens, financiële gegevens, etc); 
    • degenen aan wie de persoonsgegevens worden verstrekt en of deze zich buiten de EU bevinden (bijvoorbeeld cloud providers); 
    • of de persoonsgegevens worden doorgegeven aan een land buiten de EU of internationale organisatie en zo ja, hoe voldaan wordt aan de wettelijke regels daaromtrent;
    • een beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen ter bescherming van deze persoonsgegevens;
    • de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (bewaartermijn); 

    Zie ook mijn eerdere artikel over de documentatieplicht.

    Je kunt bij ons terecht voor een model verwerkingsregister die je kan helpen om te voldoen aan deze documentatieplicht. Neem daarvoor contact op met Monique Hennekens.