Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Archieven en back-ups in het licht van de Wet bescherming persoonsgegevens

23 december 2013 - 3 minuten leestijd

Het uitgangspunt van de Wet bescherming persoonsgegevens (Wbp) is dat persoonsgegevens enkel en alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld (art. 7). Ten einde dit uitgangspunt te concretiseren, geeft de Wbp een aantal regels met betrekking tot de verwerking van persoonsgegevens. Zo is onder meer bepaald dat persoonsgegevens niet langer dan noodzakelijk bewaard mogen worden.

Voorgaande bepaling is te vinden in lid 1 van art. 10 Wbp, dat in zijn geheel als volgt luidt: “Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.” Uit de wettekst volgt dus dat persoonsgegevens alleen bewaard mogen worden zolang hier een noodzaak  voor bestaat die voortvloeit uit (één van) de doeleinden waarvoor de gegevens werden verzameld of verwerkt. De Wbp maakt hierbij overigens een uitzondering voor persoonsgegevens die voor historische, statistische of wetenschappelijke doeleinden worden bewaard. Deze gegevens mogen, onder bepaalde voorwaarden, wel langer bewaard worden.

De vernietigingsplicht die voortvloeit uit art. 10 Wbp kan een probleem vormen voor veel verantwoordelijken. Immers, een webshophouder die adres- en rekeninggegevens van zijn klanten verwerkt, verkrijgt deze gegevens met het doel om levering en betaling mogelijk te maken. Na levering van de bestelling, ontvangst van de betaling en verloop van de eventuele garantieperiode bestaat er op het eerste gezicht echter geen noodzaak meer om de gegevens te bewaren, waardoor de webshophouder verplicht is de gegevens te vernietigen. Aan de andere kant ziet de webshophouder zich (onder omstandigheden) geconfronteerd met de eveneens wettelijke plicht om bepaalde gegevens, zoals bijvoorbeeld verkoopgegevens, een bepaald aantal jaar te bewaren. Zo bepaalt art. 52 van de Algemene wet inzake rijksbelastingen dat bedoelde gegevens zeven jaar bewaard moeten worden. Dit schijnbare conflict van plichten is oplosbaar door te stellen dat de gegevens zijn verzameld om de transactie met de klant op juiste wijze te kunnen afhandelen, waarvan de administratieve verplichtingen van de webshophouder onderdeel uitmaken. Op deze grond bestaat voor de webshophouder een noodzaak de gegevens langere tijd te bewaren, zodat geen strijd meer bestaat met de Wbp.

In sommige situaties zullen de twee wettelijke plichten echter minder gemakkelijk verenigbaar zijn. Dit geldt niet alleen voor bedrijven. De praktijk wijst uit dat ook overheidsorganen zich vaak in een situatie bevinden waarin de Wbp vernietiging van de gegevens eist en andere wetgeving juist vereist dat dezelfde gegevens bewaard worden. Zo vereisen onder meer de Archiefwet 1995 (en de daarmee samenhangende Archiefregeling en het Archiefbesluit) dat bepaalde gegevens voor lange tijd – en soms zelfs ‘voor altijd’ – bewaard worden. Teneinde een conflict van plichten te voorkomen, heeft de wetgever archieven in beginsel uitgesloten van de vernietigingsplicht.

Naast bovenstaand probleem, geldt nog een ander probleem, namelijk dat van de ‘back-ups’. Veel bedrijven en overheden maken regelmatig back-ups van alle relevante (computer)bestanden. Deze bestanden bevatten vanzelfsprekend veelal grote hoeveelheden persoonsgegevens. In sommige gevallen zullen oude back-ups steeds overschreven worden met nieuwe back-ups en zal dus minder snel een probleem ontstaan in het kader van de Wbp. Indien oude back-ups echter in een (elektronisch) archief belanden, is in veel gevallen sprake van strijd met de Wbp. Immers, er zal veelal geen enkele noodzaak bestaan de persoonsgegevens te bewaren.

Dit is een vervelend probleem, aangezien het vrijwel onbegonnen werk is om alle back-ups te filteren op persoonsgegevens en deze vervolgens te verwijderen. De Wbp houdt echter geen rekening met dit soort overwegingen en stelt de harde eis dat persoonsgegevens  niet langer dan noodzakelijk mogen worden bewaard. Mogelijk dat de nieuwe Privacyverordening de verantwoordelijke enigszins de helpende hand kan bieden door ‘privacy-by-design’ als uitgangspunt te nemen. Immers, door al tijdens de ontwikkeling van systemen aandacht te schenken aan privacyaspecten, kan op een effectievere manier zorgvuldige en verantwoorde omgang met persoonsgegevens technisch worden afgedwongen.

Wilt u meer weten over privacywetgeving, de archiefwetgeving of andere hieraan gerelateerde onderwerpen, neem dan contact op met Natascha van Duuren (partner IT, IE & Privacy)

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?