Bij het personaliseren van advertenties zijn veel verschillende partijen betrokken die door middel van cookies en/of andere tracking technologie data verzamelen, waaronder persoonsgegevens. Wanneer persoonsgegevens verzameld worden, moet de verwerking in overeenstemming zijn met de Algemene verordening gegevensbescherming (hierna: AVG). De AVG schrijft voor dat persoonsgegevens niet langer bewaard mogen blijven dan noodzakelijk is voor het doel van de verwerking.
Meer weten over dit onderwerp of een andere juridische vraag? Mail dan naar: [email protected]
Bewaartermijnen kunnen wettelijk vastgelegd zijn. Een loonbelastingverklaring van een ex-werknemer mag maximaal tot vijf jaar worden bewaard na einde dienstverband. Echter, de bewaartermijnen voor persoonsgegevens die verzameld worden voor gepersonaliseerde advertenties, zijn momenteel niet wettelijk vastgelegd. Het uitgangspunt bij deze verwerkingen is: persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is voor het doeleinde dat hiermee wordt beoogd.
Concrete bewaartermijnen vaststelt: een bewaartermijn moet concreet worden omschreven, zoals één dag, twee maanden of één jaar.
Bepaalt wanneer persoonsgegevens verwijderd moeten worden: het is belangrijk om een duidelijke ingangsdatum voor de bewaartermijn vast te stellen, zodat het ook helder is wanneer de persoonsgegevens verwijderd moeten worden. Bijvoorbeeld: de persoonsgegevens die worden verzameld voor een cookie, worden na het plaatsen van de cookie na twee weken verwijderd.
De betrokkene op de juiste manier informeert over de bewaartermijnen: informatie over bewaartermijnen moet beknopt, transparant en begrijpelijk zijn.
Persoonsgegevens niet langer dan noodzakelijk bewaart: persoonsgegevens moeten verwijderd worden nadat het doel waarvoor ze zijn verzameld, behaald is.
Let op: als je gebruikmaakt van bepaalde software kan het voorkomen dat de bewaartermijnen al vastgesteld zijn door de andere partij. Het is dan alsnog belangrijk om te checken of deze bewaartermijnen overeenstemmen met de interne richtlijnen van jouw organisatie.
Boetes en sancties: niet-naleving kan leiden tot hoge boetes, verwerkingsverboden of dwangsommen.
Reputatieschade: opgelegde boetes of andere sancties worden opgenomen in openbare registers wat kan leiden tot reputatieschade.
Impact op de bedrijfsvoering en financiële efficiëntie: geen (goede) bewaartermijnen leiden tot verouderde data, wat kan resulteren in inefficiënte bedrijfsvoering, mogelijk verkeerde zakelijke beslissingen en overbelasting van de systemen.
De afweging om te bepalen of de verwerking nog noodzakelijk is voor het beoogde doeleinde, kan gedaan worden aan de hand van de onderstaande vragen:
Wat is het doel van de verwerking? Zorg voor een concreet doel en bepaal een bewaartermijn die in lijn is met dat doel. De gegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel.
Bijvoorbeeld: gegevens worden verzameld om gerichte advertenties te tonen.
Wanneer is dat doel bereikt? Stel een duidelijke einddatum voor de verwerking vast, zodat je weet wanneer de gegevens niet meer nodig zijn en verwijderd moeten worden.
Bijvoorbeeld: de marketingcampagne is afgelopen.
Kunnen de persoonsgegevens worden vernietigd of leidt dit tot onoverkomelijke problemen voor de bedrijfsvoering? Gegevens mogen niet langer bewaard worden dan noodzakelijk. Verwijder ze zodra ze niet meer relevant zijn voor de bedrijfsvoering.
Bijvoorbeeld: gegevens voor een campagne kunnen na afloop van de campagne verwijderd worden.
Kunnen de persoonsgegevens geanonimiseerd worden? Als de gegevens niet langer in hun originele vorm nodig zijn, overweeg dan om ze te anonimiseren. Een bijkomend voordeel is dat geanonimiseerde gegevens niet langer onder de AVG vallen.
Voorbeeld: gegevens van klanten die eerder een product gekocht hebben, kunnen geanonimiseerd worden om trends te analyseren.
Leidt het langer bewaren van de persoonsgegevens tot een groter risico voor de privacy van de betrokkenen? Bewaar persoonsgegevens niet langer dan noodzakelijk en evalueer of de privacyrisico’s toenemen bij langer bewaren.
Bijvoorbeeld: als gevoelige klantdata langer bewaard wordt en dit gekoppeld blijft worden aan nieuwe klantdata, nemen de privacyrisico’s toe.
Gelden er wettelijke bewaartermijnen voor de persoonsgegevens? Controleer of er specifieke wettelijke bewaartermijnen zijn voor de persoonsgegevens.
Bijvoorbeeld: de loonbelastingverklaringen van ex-werknemers mogen maximaal vijf jaar bewaard worden.
Uit de antwoorden kan een afweging gemaakt worden die leidt tot het vaststellen van een concrete bewaartermijn. Belangrijk: deze afweging moet telkens opnieuw gemaakt worden zodra de verwerkingen zelf en/of het soort persoonsgegevens wijzigen.
Meer weten over dit onderwerp of een andere juridische vraag? Mail dan naar: [email protected]
