Gebruikersgegevens zijn van oudsher een waardevol bezit voor bedrijven, waarbij wetten inzake gegevensbescherming zijn ingevoerd om te regelen hoe er op verantwoorde wijze mee kan worden omgegaan. Het spreekt voor zich dat als het gaat om het verzamelen van gegevens, bedrijven zich bewust moeten zijn van de wettelijke vereisten en best practices die daarbij horen! Een van deze praktijken is een beleid voor het bewaren van gegevens.
Laten we erin duiken.
Eerst en vooral, wat is gegevensbewaring? Gegevens worden gedurende een bepaalde periode opgeslagen en gebruikt, de zogenaamde bewaartermijn. Kort gezegd bepaalt deze periode hoe lang de gegevens (d.w.z. een e-mailadres, medisch dossier, loonlijst) worden bewaard voordat ze moeten worden verwijderd.
Het beleid inzake gegevensbewaring is geen op zichzelf staand “beleids”-document zoals het privacybeleid in het GDPR-begrip. Het is meer een interne beoordeling om alle volgende informatie vast te leggen, voor elke verwerkingsactiviteit:
Het is een belangrijk onderdeel van het interne privacybeheer van uw bedrijf, samen met het bijhouden en kunnen beschrijven van beveiligingsmaatregelen, rechtsgrondslag voor verwerking, gegevensoverdracht buiten de EU en de partijen waarmee u de gegevens deelt.
Uw verantwoordelijke voor de verwerking moet een beoordeling uitvoeren op basis van een aantal criteria om bewaartermijnen vast te stellen voor de categorieën persoonsgegevens die worden verwerkt.
In het algemeen kunnen de bewaartermijnen van de gegevens zijn:
💡 Naast het uitvoeren van een interne beoordeling van uw gegevensbewaringsbeleid, dient u er ook rekening mee te houden dat u volgens GDPR artikel 13 wettelijk verplicht bent de bewaartermijnen voor elk van uw verwerkingsactiviteiten bekend te maken!
👋 Klinkt dat ingewikkeld? Dat hoeft het niet te zijn! Kijk hoe het moet in deze sectie
🇺🇸 California’s CPRA (gewijzigde CCPA) die in januari 2023 in werking trad, is een ander sterk voorbeeld. Het vereist nu vermelding van de bewaartermijn voor elke categorie persoonsgegevens, met inbegrip van gevoelige persoonsgegevens, in een kennisgeving bij de verzameling. Bedrijven wordt daarom geadviseerd de bewaring van persoonsgegevens te beperken tot de kortst noodzakelijke tijd en tot het doel waarvoor ze zijn verzameld.
Het zou nuttig kunnen zijn de volgende vragen te overwegen:
📌 Tot wanneer heb ik de gegevens echt nodig voor het bedrijf om het oorspronkelijke doel te bereiken?
📌 Ben ik wettelijk verplicht de gegevens gedurende een bepaalde periode te bewaren?
📌 Moet ik bepaalde gegevens bewaren om mezelf te beschermen tegen een mogelijk probleem?
📌 Welke gegevens moeten worden opgeslagen? Hoe lang?
📌 Wat zijn de regels voor het opslaan of verwijderen van gegevens?
Hier zijn enkele belangrijke principes die u moet volgen bij het opstellen van uw beleid voor gegevensbewaring:
✅ Een nauwkeurig, wettelijk en legitiem doel hebben;
✅ Stel een precieze, in de tijd beperkte bewaartermijn vast;
✅ De gegevens moeten relevant en noodzakelijk zijn;
✅ De gegevens moeten worden opgeslagen gedurende de kortst mogelijke tijd;
✅ Gegevens zijn veilig en beschermd.
Dit is hoe u gegevensbewaring aan uw gebruikers bekend kunt maken.
De beste praktijk is om via uw privacydocumenten, zoals uw privacybeleid, nauwkeurige informatie over het bewaren van gegevens op te nemen.
Dit is hoe je dit doet met iubenda:
🚀 Gebruik onze Privacy and Cookie Policy Generator om de technologieën toe te voegen die u op uw website gebruikt (bijvoorbeeld toegang tot Facebook);
🚀 Gebruik onze Register van de gegevensverwerkingsactiviteiten tool voor het bepalen van de opslagduur voor elke verwerkingsactiviteit;
🚀 Genereer uw privacybeleid met alle noodzakelijke standaard openbaarmakingen! (Zie voorbeeld hieronder)