Bewaren van persoonsgegevensDe inhoud van een digitaal of papieren dossier bevat veel informatie over een persoon. De huisarts weet bijvoorbeeld welke medicijnen zijn patiënt gebruikt. En de werkgever kan zien wanneer het salaris van een werknemer voor de laatste keer is verhoogd. Om een goede administratie bij te kunnen houden, moet een organisatie bepaalde persoonsgegevens een tijd bewaren. Maar organisaties mogen die gegevens niet langer bewaren dan noodzakelijk is.
Er is op grond van de Wet bescherming persoonsgegevens (WBP) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld op grond van belastingwetgeving.
Vernietigen of archiverenIs de bewaartermijn van persoonsgegevens voorbij of zijn de gegevens niet meer noodzakelijk? Dan moeten organisaties de gegevens vernietigen.
Organisaties mogen persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.
Tenzij de Archiefwet of een andere wet van toepassing is, geldt voor persoonsgegevens in een archief geen bewaartermijn. De organisatie moet de gegevens vernietigen als ze niet meer nodig zijn voor het doel van het archief.
Verstrekken van persoonsgegevensEen organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
Verenigbaar met doelBij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:
- de verwantschap met het doel van verzamelen
- de aard van de gegevens
- de gevolgen van een verstrekking
- de waarborgen die zijn getroffen
- de verwachtingen van de betrokkene (degene van wie een organisatie persoonsgegevens gebruikt)
Gronden voor verstrekkingNaast de algemene regel van verenigbaarheid geldt dat het verstrekken van gegevens gebaseerd moet zijn op een van de 6 gronden (ook wel grondslagen genoemd) uit artikel 8 van de Wet bescherming persoonsgegevens (WBP). Dat zijn:
- toestemming van de betrokkene
- uitvoeren van een overeenkomst
- wettelijke verplichting
- vitaal belang van de betrokkene
- uitvoeren van een publiekrechtelijke taak
- gerechtvaardigd belang van de organisatie