Een vraag. In de nieuwe Selectielijst gemeenten etc. 2020 wordt meermalen gerept over het rekening houdende met de AVG. Echter... wij kunnen nergens bewaartermijnen vinden voor een aantal 'rechten' uit diezelfde AVG, te weten:

- Recht (of verzoek) tot inzage

- Recht (of verzoek) tot correctie

- Recht (of verzoek) tot verwijdering

Ik kan voor geen van deze handelingen een bewaartermijn vinden.
Een verzoek tot inzage op grond van het inzagerecht BRP zou 20 jaar bewaard, moeten worden. Zou dit hiervoor ook gelden?


Overigens verplicht de AVG tot het hebben van een register van verwerkingsactiviteiten, welke conform de selectielijst blijvend te bewaren is

Art. 82 van de GDPR stelt hierover: "Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Elke verwerkingsverantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten."

Deze is verder uitgewerkt in art. 30 van de AVG. In lid 2 wordt daar beschreven: “De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht.”.


Nu kan ik dat verkeerd lezen, maar dat betekent mijns inziens niet alleen dat je in het register vastlegt waar welke persoonsgegevens worden verwerkt, maar ook welke activiteiten c.q. handelingen zijn uitgevoerd (inzage, correctie, verwijdering).

Hoe denken jullie hierover?

Weergaven: 683

Berichten in deze discussie

Er nog verder ingedoken zijnde, geldt mijn vraag voor de bewaartermijnen voor:

  • Recht (of verzoek) tot inzage – artikel 15 AVG
  • Recht (of verzoek) tot rectificatie – artikel 16 AVG
  • Recht (of verzoek) tot gegevenswissing – artikel 17 AVG
  • Recht (of verzoek) tot beperking van verwerking – artikel 18 AVG
  • Overdraagbaarheid van gegevens (dataportabiliteit) – artikel 20 AVG
  • Bezwaar tegen gegevensverwerking – artikel 21 AVG

Volgens mij is het zo dat het register van verwerkingen alleen die verwerkingen vastlegt waarop de AVG van toepassing is. De verzoeken tot inzage, correctie en verwijdering (niet van toepassing wanneer archieven zijn overgebracht) leg je vast in je DMS/Zaaksysteem.

Proces Naam registratie Afdeling Cluster Eindverantwoordelijke Verwerker Verwerkingsdoeleinden Rechtmatige grondslag Betrokkenen Persoonsgegevens Bijzondere persoonsgegevens Classificatie Classificatie
        Keuzelijst: Welk bestuursorgaan is de verwerkers- /eindverantwoordelijke? Wie verzameld de gegevens? Wie slaat ze op? Wat is het doel van het proces/ de verwerking? Keuzelijst: Wat is de rechtmatige grondslag? Over welke categorie van betrokkenen gaat het? Bijvoorbeeld: Aanvragers, leerplichtigen, bewoners. Welke categorieën van persoonsgegevens worden gebruikt? Gebruik de categorieën van de BRP. Kies uit: BSN, medische gegevens, ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, lidmaatschap vakbond, biometrische gegevens voor identificatie, seksuele gegevens. Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid).

Hallo Erik,

in het Model-DSP verwijzen we naar resultaat 6.1 (Verzoeken behandelen). In tegenstelling tot de inzageverzoeken voor de BRP  door derden (V 20 jaar) is er geen wettelijke termijn voor verzoeken op basis van de AVG. Ook bij opstellen van de selectielijst is men tot de conclusie gekomen dat 5 jaar lang genoeg is.

Over het AVG verwerkingsregister: deze discussie heb ik eerder gehoord, maar elke activiteit vastleggen is niet te doen want dat zou betekenen dat elke zaak en elke handeling die binnen zaak plaatsvindt moet worden vastgelegd in het register en dat is niet te doen.

We verwijzen dan ook naar het gedeelte "een register van alle categorieën van verwerkingsactiviteiten". Met andere woorden: je houdt niet alle handelingen, maar een categorie van handelingen en dat zijn mijn inziens je werkprocessen/zaaktypen.

Dank voor jullie antwoorden!

Hallo Kees-Jan,

Bij resultaat 6.1 gaat het over een ingewilligd verzoek.

Wij krijgen nu verzoeken binnen, die wij gaan afwijzen. Dan zou ik dus resultaat 6.2 moeten toepassen. Daarvoor staat een bewaartermijn van 1 jaar.

Is dat lang genoeg? Of moet er, in het geval van verzoek op grond van de AVG, niet gekeken worden naar het resultaat. En "gewoon" 6.1 toepassen met 5 jaar bewaartermijn?

Het blijft best onduidelijk, die bewaartermijn voor de verzoeken op grond van AVG. Het zou wenselijk zijn als deze explicieter in de selectielijst zouden staan.

Misschien mogelijk dat deze bij de volgende update van de selectielijst toegevoegd kunnen worden? Anders blijft deze discussie en onduidelijkheid bestaan.

Maar voor nu, hoor ik graag jou, en die van anderen, ideeën over een bewaartermijn van een afgewezen verzoek op grond van avg om gegevenswissing.



Kees-Jan Vermeulen zei:

Hallo Erik,

in het Model-DSP verwijzen we naar resultaat 6.1 (Verzoeken behandelen). In tegenstelling tot de inzageverzoeken voor de BRP  door derden (V 20 jaar) is er geen wettelijke termijn voor verzoeken op basis van de AVG. Ook bij opstellen van de selectielijst is men tot de conclusie gekomen dat 5 jaar lang genoeg is.

Over het AVG verwerkingsregister: deze discussie heb ik eerder gehoord, maar elke activiteit vastleggen is niet te doen want dat zou betekenen dat elke zaak en elke handeling die binnen zaak plaatsvindt moet worden vastgelegd in het register en dat is niet te doen.

We verwijzen dan ook naar het gedeelte "een register van alle categorieën van verwerkingsactiviteiten". Met andere woorden: je houdt niet alle handelingen, maar een categorie van handelingen en dat zijn mijn inziens je werkprocessen/zaaktypen.

Hallo Nicole,

Kort gezegd: afgewezen is afgewezen, dus gewoon 6.2 toepassen. Als je het verzoek toekent, wijzig je/vernietig je (persoons)gegevens en dat wil je dus wat langer bewaren. Als je het verzoek afwijst, speelt dat niet. Dus als de bezwaartermijn is afgelopen, heb je niet echt veel meer aan het verzoek. Als er weer een nieuw verzoek binnenkomt, zal je die weer opnieuw moeten beoordelen, dus heb je geen grondslag om het oude verzoek langer te bewaren.

Hallo Kees-Jan,

Dat klinkt logisch. Dank je wel voor je spoedige reactie! echt top!



Kees-Jan Vermeulen zei:

Hallo Nicole,

Kort gezegd: afgewezen is afgewezen, dus gewoon 6.2 toepassen. Als je het verzoek toekent, wijzig je/vernietig je (persoons)gegevens en dat wil je dus wat langer bewaren. Als je het verzoek afwijst, speelt dat niet. Dus als de bezwaartermijn is afgelopen, heb je niet echt veel meer aan het verzoek. Als er weer een nieuw verzoek binnenkomt, zal je die weer opnieuw moeten beoordelen, dus heb je geen grondslag om het oude verzoek langer te bewaren.

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden