Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure

dat-04OntwikkelenMonitoring en beheerJuristProjectleiderTechnische robuustheid en veiligheidPrivacy en gegevensbescherming

Maatregel

Bepaal de bewaartermijnen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.

Toelichting

• (Persoons)gegevens die het algoritme of AI-systeemn verwerkt worden niet langer bewaard dan voor de verwezenlijking van de verwerkingsdoeleinden noodzakelijk is.
• Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA.
• Beschrijf hoe de (persoons)gegeven moeten worden vernietigd.
• Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende (zaak)systemen.
• Controleer of deze maatregelen voor de bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden.
• Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden.

Bijbehorende vereiste(n)

Vereiste
arc-01 - Informatie over algoritmes wordt gedocumenteerd volgens de Archiefwet
aia-12 - Documentatie over hoog-risico-AI-systemen wordt tien jaar bewaard door de aanbieder
avg-02 - Persoonsgegevens worden zo kort mogelijk bewaard

Bronnen

• Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11
• Toetsingskader Algoritmes Algemene Rekenkamer, 3.17

Voorbeeld

Heb jij een goed voorbeeld? Laat het ons weten!