Hoe lang mag je persoonsgegevens bewaren voor compliancedoeleinden?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ons bedrijf werkt met Teams, en wij nemen alle interne gesprekken standaard op. Dit omdat de bedrijfsjurist zegt dat dit moet vanwege "compliance/regulatory" eisen. Een bewaartermijn krijg ik niet. Mag dit wel van de wet? We vragen werknemers immers niet om toestemming.
Antwoord: Toestemming is in de werksfeer eigenlijk nooit aan de orde, van de AVG kán een werknemer geen toestemming geven. De werknemer zal immers (zo denkt de toezichthouder) altijd maar braaf ja zeggen omdat zhij bang is voor ontslag, geen salarisverhoging of vast contract. Wie dus toestemming vraagt aan personeel, doet het fout.
Maar goed, als het gaat om compliance doeleinden, dan zou dat geen probleem moeten zijn. Als het moet van wet X, dan mag het automatisch van de AVG. Iedere werkgever bewaart van al zijn medewerkers een kopie paspoort met bsn, dat moet in het kader van zwartwerkbestrijding dus dat mag van de AVG. Medewerkers die dat niet willen, hebben pech.
Waar dit echter vaak naar vertaald wordt, is “ik laat alle data 7 jaar staan zodat het management/afdeling compliance erbij kan”. Dat mag niet: er moet een duidelijk doel zijn, de bewaartermijn moet daarop afgestemd zijn en ook de toegang moet ingeregeld zijn op het compliance doel. Die paspoorten zitten in een afgesloten kluis waar alleen HR erbij kan (of de arbeidsinspectie, als deze een inval doet). Die opnames moeten dus ook beperkt toegankelijk zijn, en vastgelegd moet zijn wélke compliancedoeleinden dat dan zijn, wie voor die doelen erbij mogen en na welke termijn ze weg moeten.
Alles loggen “voor compliance/regulatory” is dus een juridisch zinloze uitspraak die ik helaas vaak zie bij mensen die te veel Amerikaanse bangmaakfilmpjes hebben gezien. Hoofdregel: je mag niets bewaren, alles moet weg na direct gebruik. Doet dat pijn? Motiveer je reden én geef aan tot hoe lang het pijn blijft doen, daarna moet het weg. Als je antwoord “oneindig” is dan is het fout. Als je motivatie bij meerdere soorten gebruik past dan is ie fout. Als de motivatie speculatief is dan is ie fout. Als de motivatie neerkomt op “het is een optie in Teams” dan is ie fout.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Worden telefoongespreken opgenomen met klanten?
Worden gespreken of onderling opgenomen via telefoon on fysiek als je in een ruimte zit?
Staat er de hele dag een camera op je gericht?
Waarschijnlijk zal hier gewoon allemaal nee op geantwoord worden en maakt een tool als Teams het ook niet nodig om op te nemen.
Er wordt in de tekst ook vaag gedaan over compliance/regulatory eisen. welke dan?
Worden telefoongespreken opgenomen met klanten?
Worden gespreken of onderling opgenomen via telefoon on fysiek als je in een ruimte zit?
Staat er de hele dag een camera op je gericht?
Waarschijnlijk zal hier gewoon allemaal nee op geantwoord worden en maakt een tool als Teams het ook niet nodig om op te nemen.
Er wordt in de tekst ook vaag gedaan over compliance/regulatory eisen. welke dan?
De vragensteller is helaas wat vaag over de branche en type werk waar dit speelt.
Het teamoverleg op de kinderopvang is een heel andere orde dan de traders van een bank - zeker als die ook een notering op NYSE heeft.
Best kans dat er in de dealingroom inderdaad de hele dag een camera op je staat - bij een casino is dat inderdaad het geval.
Je had , al een stevige tijd geleden , opeens "SoX - Sarbanes-Oxley" , wetgeving naar aanleiding van de Enron mega fraude, waarin opeens van alles auditbaar moest zijn . Dat speelt in bedrijven die (ook) op de Amerikaanse beurs genoteerd zijn.
Ergens rondom de laatste financiele crisis was er ook weer zo'n zaak van bankiers/investeerders die geheime overleggen hadden (een of andere externe conferencing service) naast de (opgeslagen) officiele, voor een stukje insidertrading.
Ik zou niet uitsluiten dat de formulering van compliance iets zeggen over "alle elektronische communicatie" die opgeslagen moet worden - en dat zit je precies met teams op "wel" en met f2f naast de koffieautomaat op 'niet' .
Laten we ook niet vergeten dat "we" op dit forum piswoest worden als Rutte en Halsema hun SMSjes en Appjes niet gearchiveerd hebben voor eventuele WOB verzoeken, maar als er een vraag komt over "compliance van het werk" het opeens helemaal fout vinden dat "alles" bewaard moet worden.
Dan heb je nog wat speciale sectoren (112 meldkamer, air traffic control) waar alles permanent (audio - en radar etc) opgenomen wordt .
De vraag was heel breed en vaag, maar ik vind dat Arnoud zich er wat snel van afgemaakt heeft met een algemeen AVG verhaal.
Worden telefoongespreken opgenomen met klanten?
Worden gespreken of onderling opgenomen via telefoon on fysiek als je in een ruimte zit?
Staat er de hele dag een camera op je gericht?
Waarschijnlijk zal hier gewoon allemaal nee op geantwoord worden en maakt een tool als Teams het ook niet nodig om op te nemen.
Er wordt in de tekst ook vaag gedaan over compliance/regulatory eisen. welke dan?
De vragensteller is helaas wat vaag over de branche en type werk waar dit speelt.
Het teamoverleg op de kinderopvang is een heel andere orde dan de traders van een bank - zeker als die ook een notering op NYSE heeft.
Best kans dat er in de dealingroom inderdaad de hele dag een camera op je staat - bij een casino is dat inderdaad het geval.
Je had , al een stevige tijd geleden , opeens "SoX - Sarbanes-Oxley" , wetgeving naar aanleiding van de Enron mega fraude, waarin opeens van alles auditbaar moest zijn . Dat speelt in bedrijven die (ook) op de Amerikaanse beurs genoteerd zijn.
Ergens rondom de laatste financiele crisis was er ook weer zo'n zaak van bankiers/investeerders die geheime overleggen hadden (een of andere externe conferencing service) naast de (opgeslagen) officiele, voor een stukje insidertrading.
Ik zou niet uitsluiten dat de formulering van compliance iets zeggen over "alle elektronische communicatie" die opgeslagen moet worden - en dat zit je precies met teams op "wel" en met f2f naast de koffieautomaat op 'niet' .
Laten we ook niet vergeten dat "we" op dit forum piswoest worden als Rutte en Halsema hun SMSjes en Appjes niet gearchiveerd hebben voor eventuele WOB verzoeken, maar als er een vraag komt over "compliance van het werk" het opeens helemaal fout vinden dat "alles" bewaard moet worden.
Dan heb je nog wat speciale sectoren (112 meldkamer, air traffic control) waar alles permanent (audio - en radar etc) opgenomen wordt .
De vraag was heel breed en vaag, maar ik vind dat Arnoud zich er wat snel van afgemaakt heeft met een algemeen AVG verhaal.
Het inderdaad afhankelijk van de situatie met het volgende uitgangspunt zoals Arnoud aangeeft:
Hoofdregel: je mag niets bewaren, alles moet weg na direct gebruik. Doet dat pijn? Motiveer je reden én geef aan tot hoe lang het pijn blijft doen, daarna moet het weg. Als je antwoord “oneindig” is dan is het fout. Als je motivatie bij meerdere soorten gebruik past dan is ie fout. Als de motivatie speculatief is dan is ie fout. Als de motivatie neerkomt op “het is een optie in Teams” dan is ie fout.
Worden telefoongespreken opgenomen met klanten?
Worden gespreken of onderling opgenomen via telefoon on fysiek als je in een ruimte zit?
Staat er de hele dag een camera op je gericht?
Waarschijnlijk zal hier gewoon allemaal nee op geantwoord worden en maakt een tool als Teams het ook niet nodig om op te nemen.
Er wordt in de tekst ook vaag gedaan over compliance/regulatory eisen. welke dan?
De vragensteller is helaas wat vaag over de branche en type werk waar dit speelt.
Het teamoverleg op de kinderopvang is een heel andere orde dan de traders van een bank - zeker als die ook een notering op NYSE heeft.
Best kans dat er in de dealingroom inderdaad de hele dag een camera op je staat - bij een casino is dat inderdaad het geval.
Je had , al een stevige tijd geleden , opeens "SoX - Sarbanes-Oxley" , wetgeving naar aanleiding van de Enron mega fraude, waarin opeens van alles auditbaar moest zijn . Dat speelt in bedrijven die (ook) op de Amerikaanse beurs genoteerd zijn.
Ergens rondom de laatste financiele crisis was er ook weer zo'n zaak van bankiers/investeerders die geheime overleggen hadden (een of andere externe conferencing service) naast de (opgeslagen) officiele, voor een stukje insidertrading.
Ik zou niet uitsluiten dat de formulering van compliance iets zeggen over "alle elektronische communicatie" die opgeslagen moet worden - en dat zit je precies met teams op "wel" en met f2f naast de koffieautomaat op 'niet' .
Laten we ook niet vergeten dat "we" op dit forum piswoest worden als Rutte en Halsema hun SMSjes en Appjes niet gearchiveerd hebben voor eventuele WOB verzoeken, maar als er een vraag komt over "compliance van het werk" het opeens helemaal fout vinden dat "alles" bewaard moet worden.
Dan heb je nog wat speciale sectoren (112 meldkamer, air traffic control) waar alles permanent (audio - en radar etc) opgenomen wordt .
De vraag was heel breed en vaag, maar ik vind dat Arnoud zich er wat snel van afgemaakt heeft met een algemeen AVG verhaal.
Het inderdaad afhankelijk van de situatie met het volgende uitgangspunt zoals Arnoud aangeeft:
Hoofdregel: je mag niets bewaren, alles moet weg na direct gebruik. Doet dat pijn? Motiveer je reden én geef aan tot hoe lang het pijn blijft doen, daarna moet het weg. Als je antwoord “oneindig” is dan is het fout. Als je motivatie bij meerdere soorten gebruik past dan is ie fout. Als de motivatie speculatief is dan is ie fout. Als de motivatie neerkomt op “het is een optie in Teams” dan is ie fout.
Ja - en dat is weliswaar niet 'fout' maar wel een beetje makkelijk antwoord (cut & paste) waar best wat meer werk in gemogen had van gevallen en meer of minder speciale situaties waarin het wel degelijk kan, mag of moet - en eventueel voor lange termijnen .
Laat ik (als leek nog wel) maar eens uit de losse pols noemen dat het OM in 2019 een onderzoek startte naar witwas verdenkingen bij de ABN - die ook de periode van Gerrit Zalm als bestuursvoorzitter (2008-2016) . Dat onderzoek besloeg de periode 2014-2020 .
Het witwas onderzoek bij de ING besloeg de periode 2010-2016 , met een schikking in 2018 - het onderzoek ging dan tot ongeveer acht jaar terug blijkbaar .
Dan kun je - als je in een dergelijke sector zit - blijkbaar wel rekenen op een "cover your ass" periode van in elk geval acht jaar aan archivering, als je moet kunnen bewijzen wat er wel of niet gezegd of geschreven is.
Wie weet zijn der nog langer teruggaande voorbeelden - uiteindelijk is de *verjaringstermijn* van strafrechtelijke feiten typisch twintig jaar .
Nu zijn er ook bedrijven (natuurlijk ook VS georienteerd) die heel strak vrijwel alles aan communicatie na 90 dagen vernietigen . Onder het motto, wat er niet is kan niet opgeeist worden in 'discovery' bij een rechtszaak .
Intern best lastig natuurlijk, want onderling hebben mensen tussen afdelingen best een archiefje nodig wat er nu precies afgesproken en toegezegd was , en dat kan langer dan drie maanden lopen.
Het lijkt me overigens erg aannamelijk dat er in financiele compliancy richtlijnen wel degelijk een bewaartermijn geeist zal zijn van bepaalde minimum tijden voor allerlei gegevens die van belang zijn voor de financiele bedrijfsvoering.
En dan is het antwoord van een expert in het vak "het moet minder dan oneindig zijn" .
Jeezus , daar moet je voor doorgeleeerd hebben.
En dan ben ik een beetje teleurgesteld - dat er , ondanks de totaal niet specifieke vraag - niet wat voorbeelden benoemd zijn van typen werk(situatie) waarin dit helemaal niet mag, of helemaal wel moet en tot welke (bewaar) termijnen .
Mag of moet bewaren is wel een groot verschil. Sectorale wetgeving geeft verschillende minimum en maximum termijnen aan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
