Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure

dat-04OntwikkelenMonitoring en beheerJuristProjectleiderTechnische robuustheid en veiligheidPrivacy en gegevensbescherming

Maatregel

Bepaal de bewaartermijnen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.

Toelichting

• (Persoons)gegevens die het algoritme verwerkt worden niet langer bewaard dan voor de verwezenlijking van de verwerkingsdoeleinden noodzakelijk is.
• Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA.
• Beschrijf hoe de (persoons)gegeven moeten worden vernietigd.
• Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme en de onderliggende (zaak)systemen.
• Controleer of deze maatregelen voor de bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden.
• Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Vereiste
arc-01 - Informatie over algoritmes wordt in goede, geordende en toegankelijke staat gebracht, bewaard en vernietigd wanneer nodig.
aia-12 - Documentatie over hoog-risico-AI-systemen wordt 10 jaar bewaard door de aanbieder.
avg-02 - Persoonsgegevens worden zo kort mogelijk bewaard.

Bronnen

• Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11
• Toetsingskader Algoritmes Algemene Rekenkamer, 3.17

Voorbeeld

!!! example "UWV: Klantapplicatie WW"

    _Dit voorbeeld heeft een aantal aanpassingen nodig voordat deze in uw organisatie te gebruiken is._<br><br>
    Het UWV heeft in haar privacy statement aangegeven dat zij zich houdt aan de richtlijnen van de Archiefwet voor het bewaren van persoonsgegevens. Hierin staat beschreven welke data bewaard/verwijderd moet worden en op welke termijn. Er staat hier ook een kopje over “Uitvoering Vernietiging” waarin uitgelegd staat dat een afdeling binnen het UWV de vernietiging uitvoert.<br>
    Dit voorbeeld zou verder uitgebreid kunnen worden door de vernietigingsprocedure verder toe te lichten. Op dit moment wordt niet uitgelegd over hoe elektronische of fysieke data vernietigd wordt.<br><br>
    Bron: [Selectielijst UWV - Nationaal Archief](https://www.nationaalarchief.nl/archiveren/kennisbank/selectielijst-voor-het-uitvoeringsinstituut-werknemersverzekeringen-uwv-voor)