De AVG is vanaf 2018 van kracht en de meeste organisaties hebben uitgebreide gegevensbeschermingsprogramma’s geïmplementeerd om de verwerking van persoonsgegevens te beheren. Er blijven echter vragen rondom de toepassing van de AVG op oude gegevens, met name of de AVG ook van toepassing is op persoonsgegevens die vóór 2018 zijn verzameld.
Het is belangrijk om te begrijpen dat de AVG op zowel oude als huidige gegevens van toepassing is, ongeacht op welk moment de persoonsgegevens oorspronkelijk verzameld zijn. Dit betekent dat u de vereisten van de wetgeving volledig dient te implementeren en voor alle gegevens die u bewaart, ongeacht wanneer deze verzameld zijn.
In deze blogpost geven we u een beknopt overzicht van hoe u de gegevens die u hebt moet begrijpen in relatie tot de AVG, het bijwerken van uw retentiebeleid en het beoordelen van uw gegevens in verhouding tot de retentieperiodes.
Lees voor meer informatie over de AVG en persoonsgegevens onze vorige blogpost:
Begrijp de gegevens die u hebt
Het kennen van uw gegevenslandschap is een cruciale stap voor het naleven van de AVG en een oefening doorlopen om uw gegevens in kaart te brengen is voor dit proces essentieel.
Bedrijven hebben vaak nog ergens oude gegevensverzamelingen liggen, met name in verouderde systemen die uitgefaseerd of vervangen zijn. Deze systemen kunnen gegevens bevatten die eerder over het hoofd gezien zijn. Veelvoorkomende voorbeelden zijn:
- Gearchiveerde databases
- Geëxporteerde gegevens vanuit verouderde systemen
- SharePoint mappen van werknemers
- Oude on-site/off-site opslagoplossingen
- Archiefkasten
- Opslag van het HR-archief
Bekijk en werk uw retentiebeleid bij
Zodra u weet welke gegevens u hebt, bekijkt u uw huidige gegevensretentiebeleid. Zorg ervoor dat dit beleid up-to-date is en dat de vereisten van de AVG en de specifieke vereisten van uw organisatie erin terugkomen. Zo moeten de meeste HR-gegevens in Nederland 5 jaar bewaard worden nadat een werknemer niet meer in dienst is, voordat ze verwijderd mogen worden.
Bekijk onze blogpost Gegevensbewaring onder de AVG voor meer informatie en tips over het implementeren van een effectief gegevensbewaringsbeleid.
Beoordeel uw gegevens in verhouding tot uw huidige bewaarperioden
Als bepaalde gegevens niet meer nodig zijn voor het doeleinde waarvoor ze oorspronkelijk verzameld zijn, vereist de AVG dat de gegevens op een veilige en beveiligde manier vernietigd worden. Zo wordt het risico op het bewaren van onnodige gegevens geminimaliseerd.
Voor gegevens die nog binnen de huidige retentieperiode vallen en die nog nodig zijn, kunt u ook de afweging maken of de gegevens in hun huidige formaat opgeslagen moeten worden. Bijvoorbeeld, overweeg of het efficiënter is om fysieke dossiers om te zetten naar een digitaal formaat. Het bewaren van gegevens in de meest geschikte vorm verbetert de toegankelijkheid en ondersteunt de naleving van de gegevensbeschermingswetten.
Samenvatting
De AVG is van toepassing op alle persoonsgegevens van inwoners van de EU, ongeacht de datum waarop de gegevens oorspronkelijk verzameld zijn. Om naleving te garanderen, moet u uw gegevens goed begrijpen door deze in kaart te brengen en alle verwerkte persoonsgegevens te lokaliseren, ook die in verouderde systemen. Vervolgens controleert u uw gegevensbewaarbeleid en werkt u dit waar nodig bij. Tot slot beoordeelt u uw gegevens en hun retentieperiode, en verwijdert u op een beveiligde manier gegevens die niet meer nodig zijn.
De sleutel tot effectief gegevensbeheer is het begrijpen van het doel van uw organisatie voor het verzamelen van gegevens en dit afstemmen op de AVG-principes van zo min mogelijk gegevens verzamelen, beperkt opslaan en nauwkeurigheid.
Als uw organisatie zou kunnen profiteren van aanvullende ondersteuning bij bepaalde aspecten van AVG-naleving, neem dan contact met ons op.
