AVG: veilig persoonsgegevens verwijderen
Met de komst van de AVG wordt het belangrijker om persoonsgegevens tijdig te verwijderen. Hoe lang mag u die gegevens eigenlijk bewaren en hoe verwijdert u ze daarna op een veilige manier?
Hoe lang persoonsgegevens bewaren?
AVG. Met de komst van de Algemene verordening gegevensbescherming per 25 mei 2018 blijven de regels omtrent bewaartermijnen voor persoonsgegevens zoals die in de Wet bescherming persoonsgegevens (Wbp) staan. Dat betekent dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarvoor u die gegevens verzamelt en verwerkt heeft.
Belastingwet. De fiscale wet is een bijzondere wet en gaat voor op een algemene wet zoals de AVG. Uw financiële administratie moet u dus nog steeds gewoon zeven jaar bewaren. Geanonimiseerde gegevens zijn niet gebonden aan bewaartermijnen. Gegevens zijn geanonimiseerd als deze niet (meer) te herleiden zijn naar één persoon.
Enkele voorbeelden
Prospect-gegevens (naam, adres, e.d.) moet u weer verwijderen als het doel is bereikt: de prospect heeft je offerte ontvangen en er is er niet op ingegaan. Is hij klant geworden, dan moet je betaalgegevens, facturen, e.d. moet zeven jaar bewaren. Offertegegevens moet je na afloop verwijderen, behalve als je ze moet bewaren om fiscale redenen óf als ze niet terug te leiden zijn tot een persoon.
Lees ook het artikel over het verwerkingsregister en download het model verwerkingsregister
Bewaartermijn verstreken en nu?
Nu is de bewaartermijn verstreken en moet u alle persoonsgegevens die u verzamelt heeft verwijderen. Dat geldt voor gegevens van klanten, leveranciers, personeel, enz. Hoe doet u dat?
Persoonsgegevens verwijderen
Digitale gegevens verwijderen. Uiteraard delete u zoveel mogelijk vertrouwelijke bestanden en uiteraard maakt u dan ook de prullenbak leeg. Maar… die bestanden zijn dan technisch gezien nog niet helemaal weg. Tip. Met een programma zoals CCleaner kun je bestanden wél definitief verwijderen. Met een programma zoals DBN kun je de complete harde schijf definitief wissen, maar dat is meteen een grote stap. Gebruik je speciale programma’s? Controleer dan of dit programma de gegevens die het opslaat ook weer definitief en volledig kan verwijderen. Vaak is dat niet mogelijk, maar momenteel worden veel pakketten geüpdatet om dit voor eind mei nog mogelijk te maken.
Fysieke gegevens verwijderen. Papieren gegevens verbranden is veilig, maar met het oud papier meegeven is dat niet. U kunt papier door gespecialiseerde bedrijven (eventueel via een beveiligde container) laten vernietigen. Check of het bedrijf CA+ gecertificeerd is (keurmerk voor betrouwbare vernietiging van Federatie Nederlandse Oudpapier Industrie (FNOI). Met een papierversnipperaar kun je het ook zelf doen.
Zo kiest u de juiste papierversnipperaar
Versnipperaars met een DIN beveiligingsniveau P-1 en P-2 snijden stroken en zijn niet geschikt om vertrouwelijke gegevens te vernietigen. P-3 en P-4 snijden snippers en zijn wel veilig. Hou bij je keuze verder rekening met de capaciteit (<10, 10-30, >30 vellen per keer), de invoergleuf (A4 of groter), de grootte van de opvangbak, de prijs, enz.
Persoonsgegevens mag je bewaren totdat het doel waar u ze voor verzameld heeft bereikt is. De belastingwet gaat hier echter op voor; uw financiële administratie moet u zeven jaar bewaren. Veilig gegevens verwijderen doet u digitaal met CCleaner en papieren gegevens via een CA+ gecertificeerd bedrijf of met een versnipperaar klasse DIN P-3 of P-4.