Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure
dat-03OntwikkelenMonitoring en beheerJuristProjectleiderTechnische robuustheid en veiligheidPrivacy en gegevensbescherming
Maatregel
Bepaal de bewaartermijnen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.
Toelichting
- (Persoons)gegevens die het algoritme verwerkt worden niet langer bewaard dan voor de verwezenlijking van de verwerkingsdoeleinden noodzakelijk is.
- Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA.
- Beschrijf hoe de (persoons)gegeven moeten worden vernietigd.
- Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme en de onderliggende (zaak)systemen.
- Controleer of deze maatregelen voor de bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden.
- Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden.
Bijbehorende vereiste(n)
Bronnen
- Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11
- Toetsingskader Algoritmes Algemene Rekenkamer, 3.17
Voorbeeld
UWV: Klantapplicatie WW
Dit voorbeeld heeft een aantal aanpassingen nodig voordat deze in uw organisatie te gebruiken is.
Het UWV heeft in haar privacy statement aangegeven dat zij zich houdt aan de richtlijnen van de Archiefwet voor het bewaren van persoonsgegevens. Hierin staat beschreven welke data bewaard/verwijderd moet worden en op welke termijn. Er staat hier ook een kopje over “Uitvoering Vernietiging” waarin uitgelegd staat dat een afdeling binnen het UWV de vernietiging uitvoert.
Dit voorbeeld zou verder uitgebreid kunnen worden door de vernietigingsprocedure verder toe te lichten. Op dit moment wordt niet uitgelegd over hoe elektronische of fysieke data vernietigd wordt.