Leeft u de regels van de AVG (Algemene Verordening Gegevensbescherming) goed na?

Het oneindig bewaren van persoonsgegevens zonder enige motivering mag niet volgens de Europese privacywetgeving. Daarom raadt de Autoriteit Persoonsgegevens (AP) aan dat bedrijven een register van verwerking bijhouden en daarin aangeven hoe lang zij persoonsgegevens willen bewaren en om welke reden.

Dit is één van de vijf concrete aanbevelingen die de AP doet na een verkennend onderzoek onder dertig grote organisaties uit tien private sectoren. Het verkennend onderzoek heeft de AP een beeld gegeven van hoe het staat met de kwaliteit van de registers van verwerkingen.

De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een bedrijf de nieuwe Europese privacyregels naleeft.

De AP heeft voor het eerst concrete aanbevelingen gedaan met betrekking tot de Algemene Verordening Gegevensbescherming (AVG). Dit geeft inzicht in de wijze waarop de toezichthouder tegen de wetgeving aankijkt.

Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:

1. Benoem hoe lang en met welk doel u persoonsgegevens wilt bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten bedrijven kunnen motiveren waarom ze deze gegevens verzamelen.
2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
4. Geef duidelijk aan op welke locatie, of in welk bestand, persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage, wijziging of verwijdering indienen.
5. Maak duidelijk welk doel, bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.