Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: Bescherming persoonsgegevens | Bewerkersovereenkomst | Binding Corporate Rules | Cookies | Dataretentie | Datalekken | Data Protection Officer | Doorgifte persoonsgegevens | Europese Privacyverordening AVG | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Vergeetrecht

Wat is dataretentie?

Dataretentie is strikt genomen het bewaren van gegevens.
In het recente verleden werd dateretentie gelijkgesteld met het bewaren van telecommunicatie- en internetgegevens, m.n. de metadata hiervan. Dit vond zijn weerslag in de Wet bewaarplicht telecommunicatiegegevens (WBT), ingevoerd om terrorisme en zware misdrijven te bestrijden. De WBT trad in werking in september 2009 en werd buiten werking gesteld in maart 2015.

Nieuwe wetgeving, zoals de AVG, en de toename van de hoeveelheid data die wordt verzameld (denk aan Big Data) heeft het begrip dataretentie een ruimere betekenis gegevens. Onder dataretentie wordt nu het bewaren van alle soorten data verstaan, met een bijzondere aandacht voor persoonsgegevens.
We spreken niet over 'opslag' van de data omdat hier vaak de fysieke kant mee wordt bedoeld. Onder 'bewaren' valt ook het bijbehorende beleid, en de procedures om de data op te slaan.
Naast het Nederlandse begrip dataretentie wordt het Engelse equivalent data retention veel gebruikt. Dit is een synoniem voor het Amerikaanse record(s) retention.

AVG/GDPR en dataretentie

In de Algemene Verordening Gegevensbescherming wordt het begrip dataretentie nergens genoemd. Wel komt de opslagperiode (bewaartermijn) van persoonsgegevens ter sprake.

Dataretentie-beleid

Simpel gezegd is dataretentie-beleid een verzameling regels die beschrijven welke data opgeslagen wordt en voor hoe lang.
Dataretentie-beleid is een onderdeel van data governance, dat alle aspecten van databeheer omvat, waaronder bijvoorbeeld de toegang(srechten) tot de data.
In essentie gaat het om de volgende punten:
Een belangrijke factor is dat een consument, klant of werknemer het recht heeft zijn of haar gegevens in te zien en eventueel te laten wijzigen of verwijderen. Veel automatiseringssystemen zijn hier niet op ingesteld.

Controle identiteit door ambtenaar We onderscheiden opslag van data die actief gebruikt wordt en archivering van (historische) data. Vaak valt dit samen met het verschil tussen online en offline, en de manier van opslag.
Het aanpassen van databases of ict-systemen die niet zijn ingericht op het opvragen, wijzigen of verwijderen van specifieke data is een kostbare aangelegenheid. Het opzetten van procedures of geautomatiseerde processen hiervoor is een complex proces dat de nodige investeringen vergt. De complexiteit wordt vooral bepaald door de wijze waarop de gegevens zijn opgeslagen. Legacy ict-systemen maken het er niet eenvoudiger op.
Bij het ontwerp van nieuwe ict-systemen dient rekening gehouden te worden met het ad-hoc oproepen, wijzigen en verwijderen van data.

Overigens, ook informatie op papier kan vallen onder dataretentie-beleid, denk bijvoorbeeld aan oude papieren archieven.

Het minder lang bewaren van data kan een kostenbesparing opleveren.

Betrokken afdelingen bij dataretentie-beleid

Binnen een bedrijf of organisatie zijn minimaal de volgende afdelingen betrokken bij het datarentie-beleid:

Bewaartermijn / opslagperiode bij dataretentie-beleid

Een belangrijk onderdeel van het dataretentie-beleid is de bewaartermijn. De AVG gebruikt hiervoor de term opslagperiode. Ook de Engelse term data retention period wordt veel gebruikt.
Daarbij geldt:

Dataretentie bewaarschema's

Een retentieschema is een beleid dat beschrijft hoe documenten (digitaal en papier) binnen de organisatie worden beheerd. Vanaf creatie en wijziging tot opslag en vernietiging, met inachtneming van de bewaartermijnen per (type) document. Om het overzichtelijk te houden gebruikt men retentieschema's per land of per branche.
Idealiter bevatten deze schema's specificaties voor de IT-afdeling zodat zij de regels eenduidig kunnen implementeren. Bij contracten en personeel-uit-dienst bijvoorbeeld moet bepaalde informatie na verloop van tijd verwijderd worden uit de systemen. En uit de backups.


Beveiliging bij dataretentie


Controle identiteit door ambtenaar Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist.
Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ongeoorloofde toegang moet worden voorkomen en ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt, moet worden tegengegaan.

Redenen voor het bewaren van data

Er zijn diverse redenen waarom data wordt opgeslagen. Als de reden na verloop van tijd vergaat dan is hiermee al een soort bewaartermijn bepaald.

Complexiteit bij dataretentie-beleid

Vooral bij grotere organisaties met contacten in meerdere landen wordt de regelgeving m.b.t. het bewaren complex. Afwijkende bewaartermijnen per land en per soort data kunnen leiden tot conflicterende situaties. Alleen al het verschil in gegevens voor belasting, personeel, klanten en leveranciers is groot. Dataretentieschema's zijn dan onontbeerlijk.
Een juiste en soms pragmatische toepassing van alle regels voorkomt veel problemen bij het aanpassen van bestaande of het ontwikkelen van nieuwe ict-systemen. Kortom: hier is specialistische kennis vereist.
Het Amsterdamse FilersKeepers biedt hier de nodige hulp.