Vergeten persoonsgegevens

Ingevolge de Algemene verordening gegevensbescherming (AVG) mogen persoonsgegevens alleen worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel. Ze moeten worden verwijderd als het beheer ervan niet meer nodig is voor dat doel of wanneer de wettelijke verjaringstermijn is verstreken. Dit verwijderen wil nog wel eens misgaan als dezelfde gegevens zijn opgeslagen in meerdere (gekoppelde) applicaties.

De AVG voorziet zelf niet in een bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoelang zij persoonsgegevens bewaren. Daarbij moet wel rekening worden gehouden met bewaartermijnen zoals die zijn vastgelegd in bepaalde wetten. Denk bijvoorbeeld aan de belastingwetgeving. Wanneer persoonsgegevens bestemd zijn voor historische, statistische of wetenschappelijke doeleinden, dan mogen organisaties deze gegevens bewaren. Voor overheidsinstellingen gelden hier de regels zoals deze zijn gesteld in de Archiefwet en bijbehorende regelgeving. De archiefwettelijke bewaartermijn is dan van toepassing. Voor het bepalen van deze termijn wordt gebruikgemaakt van archiefselectielijsten zoals deze voor de verschillende overheidsorganisaties beschikbaar zijn.

Taakapplicaties

In de praktijk worden persoonsgegevens vooral opgeslagen in verschillende taakapplicaties. Het betreft hier veelal applicaties waarmee gecommuniceerd wordt tussen burgers, bedrijven en overheden; de persoonsgegevens voor het leveren van diverse services worden verzameld, verwerkt, opgeslagen en bewaard. Soms zijn deze taakapplicaties gekoppeld aan andere systemen. Dezelfde persoonsgegevens, verzameld voor een bepaald doel, worden dan op verschillende plekken gebruikt. Dit bijvoorbeeld om een deeltaak uit te kunnen voeren of onder de noemer ‘integraal klantbeeld’ en ‘signalering en samenloopdetectie’.

Daar waar sprake is van zo’n gekoppelde situatie worden gegevens vaak ook nog dubbel opgeslagen in zowel de oorspronkelijke taakapplicatie als in de gekoppelde applicaties. Soms is dit een archiefapplicatie. Er ontstaan dan meerdere identieke dataverzamelingen. In geval van een archiefapplicatie is het gedachtegoed erachter dat gegevens uit de taakapplicatie dan ook in ieder geval goed zijn geborgd voor archiveringsdoeleinden.

Nu zijn de medewerkers die hun dagelijkse werkzaamheden verrichten met deze taaksystemen doorgaans vooral gericht op de ondersteuning van burgers en bedrijven en niet zozeer op het beheer van de persoonsgegevens zelf. Ze hebben de persoonsgegevens nodig om hun taak zo goed mogelijk te kunnen uitvoeren. Deze gegevens dienen vooral correct en compleet te zijn. De medewerkers ervaren de tijdige vernietiging van deze gegevens niet als hun taak en verantwoordelijkheid. Bovendien zijn taakapplicaties hiervoor vaak onvoldoende ingericht. Het gevolg is dat persoonsgegevens dikwijls te lang in applicaties bewaard blijven en bovendien op verschillende plekken tegelijkertijd.

Daarentegen zijn medewerkers die verantwoordelijk zijn voor een gekoppelde archiefapplicatie meestal wel meer gericht op de bewaring van gegevens en documenten. Het maakt immers onderdeel uit van hun eigen taak en werkzaamheden. Ook voorziet het merendeel van de archiefsystemen wel in functionaliteit waarmee de bewaar- en vernietigingstaak kan worden uitgevoerd.

Gelijktijdige verwijdering

Persoonsgegevens die worden verwerkt en verzameld voor een welbepaald doel mogen niet in de ene (gekoppelde) applicatie nog worden bewaard op het moment dat ze uit een andere applicatie al om wettelijke redenen (AVG en Archiefwet) worden verwijderd. Behalve wanneer deze persoonsgegevens daar met een ander doel zijn opgeslagen. Het risico dat dit in de praktijk gebeurt, is zeker aanwezig. Persoonsgegevens worden dan bijvoorbeeld door ‘archiefbeheerders’ wel verwijderd uit de archiefapplicatie, terwijl dezelfde gegevens nog gewoon in een gekoppelde taakapplicatie of daaraan gekoppelde andere applicaties blijven bestaan.

Ook is er onvoldoende zicht op wat er gebeurt met persoonsgegevens die worden gebruikt in andere aan de taakapplicatie gekoppelde systemen wanneer dezelfde gegevens uit de oorspronkelijke taakapplicatie worden verwijderd. Verdwijnen deze gegevens dan ook in de gekoppelde applicaties of blijven ze daar gewoon bestaan?

Integrale en projectmatige aanpak

Wil een organisatie voor al haar persoonsgegevens volledig aan de wettelijke vereisten voldoen, dan is een integrale benadering en aanpak van systemen waarin persoonsgegevens worden verwerkt en opgeslagen noodzakelijk. Al deze systemen, gekoppeld en niet gekoppeld, dienen onder de loep te worden genomen. Ook is daarbij aandacht vereist voor de werking van verschillende koppelvlakken. Bij een organisatie van een beetje omvang vraagt dit al snel om een projectmatige aanpak. Binnen zo’n project dienen dan ten minste de volgende activiteiten te worden uitgevoerd:

  • uitzoeken in welke (gekoppelde) applicaties persoonsgegevens worden vastgelegd;
  • uitzoeken welke persoonsgegevens, met welk doel, in deze (gekoppelde) applicaties worden vastgelegd;
  • uitzoeken wat de bewaartermijn is voor deze gegevens;
  • technisch en organisatorisch regelen dat, wanneer nodig, deze gegevens worden verwijderd;
  • opstellen, inrichten en operationaliseren van procedureafspraken ten aanzien van deze applicaties om de naleving van bewaartermijnen structureel te borgen.

Organisaties die dit niet breed gaan oppakken, lopen het risico bepaalde gegevens te vergeten, namelijk die persoonsgegevens die wel met één en hetzelfde doel zijn verwerkt en verzameld, maar straks niet met één en dezelfde handeling uit alle gekoppelde systemen worden verwijderd.

Met de wetenschap dat bijna alle persoonsgegevens op termijn verwijderd moeten worden, zou het toch erg vervelend zijn op een gegeven moment te moeten melden dat er nog onbedoelde persoonsgegevens zijn bewaard.