Tussen Bewaartermijnen & Verantwoordelijkheid: Het Landschap van DPIA & AVG

In dit artikel duiken we diep in de aspecten van de AVG met betrekking tot bewaartermijnen, de uitvoering van een DPIA, en meer.

De Algemene Verordening Gegevensbescherming heeft een duidelijk standpunt als het gaat om het bewaren van persoonsgegevens. De kern hiervan is de bewaarbeperking. Dit principe stelt dat persoonsgegevens slechts gedurende een beperkte periode mogen worden bewaard. Het belangrijkste hierbij is de relevantie van de gegevens voor het doel waarvoor ze oorspronkelijk zijn verzameld. Zodra de gegevens niet langer noodzakelijk zijn voor dat doel, moeten ze worden verwijderd.

Het is de verantwoordelijkheid van organisaties om voor elke soort persoonsgegevens die ze verwerken, een minimale bewaartermijn te bepalen. Dit betekent dat elke organisatie duidelijk moet definiëren hoe lang ze verschillende categorieën van persoonsgegevens bewaren, gebaseerd op het doel van die gegevensverwerking. Deze termijnen moeten zowel intern als aan betrokkenen worden gecommuniceerd, zodat er duidelijkheid is over hoe lang hun gegevens worden bewaard.

Wanneer de vastgestelde bewaartermijn verstrijkt, wordt van organisaties verwacht dat ze persoonsgegevens op een veilige en grondige manier verwijderen. Dit omvat niet alleen het verwijderen van gegevens uit actieve databases, maar ook uit back-ups en andere opslaglocaties. Het is van essentieel belang dat deze verwijderingsprocessen op een manier worden uitgevoerd die voorkomt dat de gegevens op een later moment worden hersteld of misbruikt.

Binnen de context van de Algemene Verordening Gegevensbescherming (AVG) wordt de term "verwerkingsverantwoordelijke" gebruikt om de entiteit of organisatie aan te duiden die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt.

Wanneer het gaat om het uitvoeren van een Data Protection Impact Assessment (DPIA), ligt de primaire verantwoordelijkheid bij deze verwerkingsverantwoordelijke. Dit betekent concreet dat de verwerkingsverantwoordelijke ervoor moet zorgen dat de DPIA op een zorgvuldige, grondige en nauwkeurige manier wordt uitgevoerd. Ze zijn verantwoordelijk voor het waarborgen van de integriteit van het assessment en het waarborgen van de privacy van de betrokkenen.

De DPIA is niet slechts een papieren oefening; de bevindingen en aanbevelingen die eruit voortkomen, zijn essentieel. De verwerkingsverantwoordelijke moet daarom deze bevindingen actief overwegen bij hun besluitvormingsprocessen, met name wanneer het gaat om projecten of activiteiten die mogelijk een hoge impact hebben op de privacy van individuen. Als de DPIA bijvoorbeeld ernstige privacyrisico's aan het licht brengt, moet de verwerkingsverantwoordelijke adequate maatregelen nemen om deze risico's te mitigeren voordat ze doorgaan met de gegevensverwerking.

Het uitvoeren van een Data Protection Impact Assessment (DPIA) is een zorgvuldig en doordacht proces waarvan de duur sterk afhangt van meerdere factoren. Hieronder volgt een uiteenzetting van de variabelen die de tijdsduur kunnen beïnvloeden:

De aard en complexiteit van het project of proces waarvoor de DPIA wordt uitgevoerd, speelt een cruciale rol. Bijvoorbeeld, een eenvoudige klantendatabase voor een kleine winkel zal minder tijd vergen dan een landelijk gezondheidsregistratiesysteem dat gevoelige patiëntengegevens bevat.

Een project dat slechts een beperkte hoeveelheid gegevens verwerkt, zal doorgaans sneller te beoordelen zijn dan een project dat grote hoeveelheden gegevens uit verschillende bronnen verwerkt.

Als een organisatie interne experts heeft met ervaring in het uitvoeren van DPIA's, kan het proces vlotter verlopen. Aan de andere kant kan het inschakelen van externe consultants of het wachten op hun beschikbaarheid het proces verlengen.

Het raadplegen van belanghebbenden, zoals gegevenssubjecten of externe partners, kan extra tijd vergen, vooral als er meerdere feedbackrondes nodig zijn.

Als algemene richtlijn: eenvoudige projecten met duidelijk afgebakende gegevensverwerking kunnen inderdaad binnen een paar dagen tot een week worden voltooid. Aan de andere kant kunnen grootschalige of complexe projecten, waarbij grondige beoordelingen, meerdere herzieningen en uitgebreide raadplegingen nodig zijn, enkele weken tot maanden in beslag nemen.