Beleidsnotitie/-uitgangspunten bewaren en vernietigen persoonsgegevens in verband met privacy van Wetterskip Fryslân

Geldend van 20-10-2020 t/m heden

Intitulé

Beleidsnotitie/-uitgangspunten bewaren en vernietigen persoonsgegevens in verband met privacy van Wetterskip Fryslân

Besluit van de secretaris-directeur van Wetterskip Fryslân tot vaststelling van de beleidsregel voor de uitvoering van Beleidsnotitie/-uitgangspunten bewaren en vernietigen persoonsgegevens in verband met privacy van Wetterskip Fryslân

De secretaris-directeur van Wetterskip Fryslân

gelezen het voorstel van het directieoverleg van 20 augustus 2020;

gelet op de Algemene Verordening Gegevensbescherming (AVG) en de Archiefwet;

b e s l u i t vast te stellen de volgende beleidsregel[s]:

Beleidsnotitie/-uitgangspunten bewaren en vernietigen persoonsgegevens in verband met privacy van Wetterskip Fryslân

1. INLEIDING

De wereld van het informatiebeheer is al enige jaren sterk in beweging. Alle overheden zijn bezig met de overgang van analoog naar digitaal in alle facetten van de bedrijfsvoering en taakuitoefening. Bij deze overgang speelt het omgaan met technologische ontwikkelingen, voldoen aan wet- en regelgeving, aansluiten op landelijke standaarden en voorzieningen en informatiebeveiliging. Dit is de aanleiding om beleid en uitgangspunten voor het bewaren en vernietigen van persoonsgegevens in het algemeen en specifiek in kader van de AVG vast te stellen.

Door de toegenomen technische mogelijkheden van diverse systemen, is ook de hoeveelheid gegevens die wordt gebruikt gegroeid. Dat de opslagcapaciteit bijna geen grenzen meer kent, betekent niet dat (persoons)gegevens tot in lengte van dagen bewaard mogen worden. Daarnaast worden systemen steeds meer gekoppeld en vinden er meer gegevensuitwisselingen plaats dan er voorheen met papieren informatie werd uitgewisseld. Het is daarom belangrijk dat er op een rechtmatige en verantwoorde manier wordt omgegaan met de (persoons)informatie in de bedrijfsvoering. Transparantie, verantwoording en controle maken daarvan onderdeel uit.

In verband met de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), die per 25 mei 2018 van kracht is geworden, is het van belang om inzicht te krijgen in de precieze bewaartermijnen van alle (persoons)gegevens die bij Wetterskip Fryslân worden vastgelegd en gebruikt. De AVG stelt aan de verwerkingsverantwoordelijke strenge(re) eisen op het gebied van de verantwoordings- en documentatieplicht. Persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk voor de doeleinden nodig is (1). Die eisen dwingen onder andere tot het op orde hebben van interne werkprocessen, registers en contracten. Tevens moet aangegeven worden welke persoonsgegevens van welke personen (betrokkenen) in welke systemen staan en wie toegang heeft tot deze informatie, en hoe lang deze informatie bewaard moet worden. Deze informatie wordt opgenomen in het ‘verwerkingsregister persoonsgegevens’.

2. BASISREGELS VOOR BEWAREN EN VERNIETIGEN VAN PERSOONSGEGEVENS

Bij Wetterskip Fryslân worden er veel persoonsgegevens gebruikt en bewaard. Deze informatie is nodig om taken uit te voeren en voor de interne bedrijfsvoering. Persoonsgegevens zijn gegevens die direct of indirect herleidbaar zijn tot natuurlijke personen (mensen). Voor ieder persoonsgegeven dat wordt opgeslagen liggen verschillende doelen ten grondslag. In de AVG, zijn geen concrete bewaartermijnen opgenomen over het bewaren van die gegevens maar, wordt verwezen naar de Archiefwet.

2.1. Hoofdregel

De hoofdregel voor het bewaren van persoonsgegevens in kader van de AVG is:

persoonsgegevens worden alleen bewaard als dat noodzakelijk is voor het doel waarvoor de gegevens worden gebruikt.

Noodzakelijk betekent dat de persoonsgegevens nodig zijn voor het doel waarvoor de gegevens zijn gekregen en gebruikt en dat het doel zonder die persoonsgegevens niet bereikt wordt.

In de AVG wordt onderscheid gemaakt in drie verschillende categorieën van persoonsgegevens, te weten

  • gewone persoonsgegevens,

  • bijzondere persoonsgegevens en

  • strafrechtelijke persoonsgegevens.

Bewaren is hierbij niet het uitgangspunt, maar uitzondering. Als de gegevens niet meer noodzakelijk zijn, voor het doel waarvoor de gegevens zijn verkregen, dan moeten ze worden vernietigd of geanonimiseerd.

Een andere reden om noodzakelijkerwijs persoonsgegevens te bewaren is omdat er een specifieke wet is die het bewaren eist (zie hoofdstuk 5). Dit zijn de wettelijke bewaartermijnen. Er zijn veel bewaartermijnen voor een groot aantal categorieën (persoons)gegevens. Hiermee wordt voorkomen dat informatie verloren gaat en dat een controle nog altijd mogelijk is.

Als gegevens niet direct of indirect (meer) herleid kunnen worden tot personen, bijvoorbeeld door anonimisering, dan is de AVG niet van toepassing. Wel kan er sprake zijn van een andere wet die verplicht tot het (langer) bewaren van die gegevens.

2.2. AVG en Archiefwet

Als Europese verordening heeft de AVG voorrang op de Archiefwet. Dit betekent dat persoonsgegevens alleen op grond van de Archiefwet mogen worden bewaard, als deze in overeenstemming met de AVG zijn verzameld en verwerkt en voor zover bewaren rechtmatig is. De raakvlakken tussen beide wetten hebben vooral betrekking op het bewaren en het vernietigen van overheidsinformatie, het vaststellen van bewaartermijnen en de aanpak van het beheer van persoonsgegevens.

De Archiefwet regelt het informatiebeheer van Wetterskip Fryslân. Archiefbescheiden bevatten vaak persoonsgegevens. De AVG bevat bepalingen over de voorwaarden waaronder persoonsgegevens verwerkt mogen worden. Wetterskip Fryslân heeft bij het beheer van deze gegevens met zowel de AVG als met de Archiefwet te maken.

Voor de bewaartermijnen verwijst de AVG naar de Archiefwet of een andere wet als die van toepassing is. De Archiefwet verwijst op haar beurt naar een vastgestelde selectielijst waarin de bewaar- en vernietigingstermijnen zijn vermeld. Echter hierbij geldt altijd dat specifieke wetgeving voor algemene wetgeving (de Archiefwet) gaat, bijvoorbeeld de belastingwetgeving.

Wetterskip Fryslân kan zich aantoonbaar verantwoorden over de keuzes die gemaakt zijn ten aanzien van het bewaren en vernietigen van (persoons)gegevens. Het betreft hier de verantwoordingsplicht. De verantwoordingsplicht veronderstelt een expliciete belangenafweging. Wetterskip Fryslân kan uitleggen waarom bepaalde gegevens worden bewaard of vernietigd.

2.3. Verantwoordelijkheden, beheer en toezicht

Het bewaren en vernietigen van (persoons)gegevens gaat over het voldoen aan wet- en regelgeving. Als overheidsorgaan en in de rol van verwerkingsverantwoordelijke en verwerker van persoonsgegevens is het bestuur (bevoegd gezag) van Wetterskip Fryslân verantwoordelijk dat persoonsgegevens worden bewaard en/of vernietigd. Daarnaast eerbiedigt Wetterskip Fryslân de rechten die de AVG biedt aan betrokkenen. Met name het recht op wissing van persoons-gegevens dat is toegekend aan betrokkenen maar ook de wettelijke plicht om bepaalde gegevens juist blijvend te archiveren.

Het (dagelijks) bestuur is verantwoordelijk voor het beheer van de persoonsgegevens al dan niet onderdeel zijnde van (andere) archiefbescheiden met inachtneming van wet- en regelgeving. Onder beheer wordt verstaan:

  • registratie en ordening,

  • selectie en vernietiging,

  • raadpleging en

  • overbrenging van waterschapsinformatie (archiefbescheiden) naar een archiefbewaarplaats/e-depot.

De uitvoering van deze beheertaken berust bij de door Wetterskip Fryslân aangewezen personen; in vervolg aangeduid als de beheermedewerker (DIV).

De Functionaris Gegevensbescherming (FG) ziet toe op de naleving van bewaar- en/of vernietigingstermijnen van persoonsgegevens overeenkomstig het bepaalde in de AVG. Indien de FG onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt deze hierover verslag uit aan de aangewezen beheerders met eventuele aanbevelingen. Indien de aanbevelingen naar het oordeel van de FG niet of niet voldoende door de beheerder wordt opgevolgd, rapporteert de FG dit aan de verwerkingsverantwoordelijke.

De Privacy Adviseur (PA) ondersteunt de FG bij het uitvoeren van de taken en adviseert en ondersteunt de privacybeheerders in de lijn bij bewaar- en vernietigingstermijnen. Bij vragen over bewaar- en vernietigingstermijnen van medewerkers uit de processen zijn de betreffende privacybeheerders het eerste aanspreekpunt.

Gedeputeerde Staten van Fryslân voert toezicht uit op de archiefzorg van Wetterskip Fryslân. Het Inter Bestuurlijk Toezicht (IBT) gaat in de kern over maatwerk, gebaseerd op samenwerking en uitgaand van wederzijds vertrouwen. Voor Wetterskip Fryslân betekent dit dat er gezamenlijk gewerkt wordt aan een toezichtsplan op maat, op basis van een risicoanalyse. Tot dat moment wordt toezicht gehouden op basis van documenten die volgens de wet moeten worden toegestuurd, aangevuld met informatie uit de Toetskaders (ingevulde KPI-lijst en het verslag over het archiefbeheer).

3. BEWAREN VOLGENS DE AVG

Op grond van de AVG zijn er geen concrete bewaartermijnen voor persoonsgegevens maar ze mogen in ieder geval niet langer worden bewaard dan noodzakelijk is, daarna moeten ze worden vernietigd, tenzij de persoonsgegevens onderdeel uitmaken van archiefbescheiden dan geldt daarvoor de wettelijke termijnen voor het bewaren en vernietigen zoals vermeld in de selectielijst of andere specifieke wetgeving.

Uitgangspunten voor het bewaren van persoonsgegevens in kader van de privacy, zijn:

  • Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor de verwerkingsdoeleinden.

  • Voor iedere gegevensverwerking is de bewaartermijn van de gegevens vastgesteld.

  • De vastgestelde bewaartermijnen worden niet in acht genomen indien:

  • -

    een wettelijk voorschrift tot het bewaren van de persoonsgegevens verplicht;

  • -

    de noodzaak tot het bewaren voortvloeit uit taken van verwerkers;

  • -

    er sprake is van strafrechtelijk handelen;

  • -

    de veiligheid van het waterschap, de Staat of natuurlijke personen in het geding is.

  • De persoonsgegevens moeten op een zodanige wijze worden bewaard en behandeld dat alleen bevoegde personen er over kunnen beschikken. De persoonsgegevens mogen niet onbeheerd worden achter gelaten in algemeen toegankelijke ruimtes (zie voor meer informatie de Baseline Informatiebeveiliging Overheid (BIO)).

  • Het maken van back ups van verwerkingen met persoonsgegevens is in duidelijke procedures vastgelegd, waarvan de naleving wordt gecontroleerd.

3.1. Opslagbeperking: noodzakelijk, anoniem of archivering

In artikel 5 van de AVG is onder lid e. ingegaan op het bewaren en/of vernietigen van persoonsgegevens rekening gehouden met opslagbeperking. Dit betekent dat een persoonsgegeven alleen mag worden bewaard als identificeerbaar gegeven, voor zolang als het nodig is voor de doeleinden waarvoor het verzameld is. Het is dus wel mogelijk om, als de gegevens gespeudonimiseerd kunnen worden en daarmee niet meer de directe of indirecte identificatie van een persoon mogelijk maken, gegevens langer te bewaren.

Persoonsgegevens mogen voor langere perioden worden opgeslagen als persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden worden verwerkt mits passende technische en organisatorische maatregelen voor de bescherming worden getroffen.

Ten aanzien van vorenstaande hanteert Wetterskip Fryslân de volgende regels:

  • de periode dat de gegevens nodig zijn (noodzakelijkheidsbeginsel) is de gebruiksfase. In deze fase worden persoonsgegevens nog niet gearchiveerd. Dit is het moment waarop persoonsgegevens worden verwerkt voor het bereiken van het verwerkingsdoel;

  • in de periode dat de persoonsgegevens misschien nog nodig zijn begint de archiveringsfase. In deze fase worden gegevens om administratieve redenen of wettelijke voorschriften bewaard;

  • in de periode dat persoonsgegevens worden gearchiveerd, begint de bewaartermijn te lopen;

  • als de persoonsgegevens op geen enkele manier meer nodig zijn, dan mogen ze niet langer worden bewaard, tenminste niet in de vorm van persoonsgegevens. Dit is te bereiken door de gegevens te wissen, te vernietigen, dan wel door ze te anonimiseren.

3.2. Rechten van betrokkenen

De AVG regelt een aantal specifieke privacy rechten. Degenen over wie de persoonsgegevens gaat (betrokkenen), hebben een aantal specifieke rechten. Hierdoor krijgen ze meer zeggenschap over de verwerking van hun eigen persoonsgegevens. Hierbij zij aangetekend dat de rechten van betrokkenen niet absoluut zijn. Als een wet verplicht tot het bewaren van persoonsgegevens dan mag de betrokkene niet eisen dat de gegevens eerder vernietigd worden. Het gaat hier om de volgende rechten, zoals ook is opgenomen in de privacyverklaring Wetterskip Fryslân:

  • recht op informatie: waarom zijn de persoonsgegevens nodig, wat gebeurt ermee en hoelang worden ze opgeslagen;

  • recht op inzage: weten welke persoonsgegevens bekend zijn bij het waterschap;

  • recht op rectificatie: persoonsgegevens aanvullen, corrigeren, te laten verwijderen of af te laten schermen wanneer dat wordt gewenst;

  • recht om vergeten te worden: wanneer Wetterskip Fryslân toestemming heeft om gegevens te verwerken kan op verzoek deze gegevens ook weer worden verwijderd;

  • recht op het overdragen van gegevens: persoonsgegevens kunnen opgevraagd worden bij verwerkingsverantwoordelijke (bijv. Wetterskip Fryslân), om deze over te dragen aan een andere verwerkingsverantwoordelijke;

  • recht op bezwaar: er kan bezwaar gemaakt worden tegen de verwerking van (persoons)gegevens door Wetterskip Fryslân. Wetterskip Fryslân voldoet hieraan, tenzij er gerechtvaardigde gronden zijn voor verwerking.

4. BEWAREN VOLGENS DE ARCHIEFWET

De Archiefwet kent geen algemene bewaartermijnen, maar alleen een set met algemene bepalingen. De Archiefwet regelt dat de overheid haar informatie goed kan beheren en die informatie archiveert als nationaal geheugen en kennisbron. Een deel van de informatie wordt namelijk permanent bewaard voor het nageslacht. De Archiefwet regelt hoe dit gearchiveerd moet worden. Zo verplicht de wet de waterschappen om zelf een lijst te maken waarop de specifieke bewaartermijnen worden opgesomd die onder de Archiefwet vallen. Deze lijst wordt de selectielijst genoemd.

4.1. Archiefwet en bewaartermijnen

Volgens de Archiefwet gaat een bewaartermijn over het bewaren van de gegevens tijdens die termijn, en daarna worden de gegevens vernietigd of overgebracht naar een archiefbewaarplaats/e-depot. Zodra er persoonsgegevens in de te archiveren bestanden zijn opgenomen is daarop de AVG van toepassing. De verwerking ten behoeve van de archivering wordt volgens de AVG als verenigbaar beschouwd met de oorspronkelijke verwerking. Als informatie blijvend te bewaren is, gelden de bepalingen in de AVG ten behoeve van archivering in het algemeen belang ook gedurende de periode waarin de informatie nog in beheer is bij Wetterskip Fryslân voordat de informatie na de wettelijke bewaartermijn (van 10 of 20 jaar) wordt overgebracht naar de archiefbewaarplaats/e-depot.

Informatie die persoonsgegevens bevat hoeft niet altijd te worden vernietigd op het moment dat de informatie niet meer nodig is voor de bedrijfsvoering. Er bestaat een reden om informatie langer te bewaren: archivering in algemeen, wetenschappelijk, historisch of statistisch belang. Het is dus mogelijk om persoonsgegevens aan te wijzen als blijvend te bewaren. Dit geldt ook voor bijzondere persoonsgegevens. In de praktijk overlappen deze redenen voor een groot deel: archief dat in archiefbewaarplaatsen wordt bewaard in het algemeen belang, wordt vaak geraadpleegd in het kader van historisch onderzoek.

Als Wetterskip Fryslân persoonsgegevens verwerkt in het algemeen belang geldt dat er ‘passende waarborgen’ moet worden toegepast, indien het doel waarvoor de verwerking plaatsvindt met toepassing van anonimisering kan worden bereikt. Zo niet, dan kan pseudonimisering uitkomst bieden en/of andere organisatorisch en technische maatregelen, zoals beperking van de toegang tot informatie.

4.2. Selectielijst

Uitgangspunt is dat de bewaar- en vernietigingstermijnen in de selectielijst overeenkomen met de termijnen die voorkomen in het verwerkingsregister op basis van de AVG. De huidige selectielijst die voor Wetterskip Fryslân van toepassing is, is de selectielijst voor de neerslag van de handelingen van de waterschappen opgemaakt of ontvangen vanaf 1 januari 2012, vastgesteld op 8 december 2011 door de algemene rijksarchivaris, namens de staatssecretaris van Onderwijs, Cultuur en Wetenschappen. De betreffende beschikking is gepubliceerd in de Staatscourant (2).

De vernietiging van archiefbescheiden krachtens enig wettelijk voorschrift geschiedt op de wijze en met inachtneming van de termijnen bij dat voorschrift gesteld. Waar vernietiging niet in specifieke wetgeving is geregeld, vindt deze plaats conform het gestelde in deze lijst.

De selectielijst geldt voor papieren en digitale archiefbestanden van Wetterskip Fryslân en van de bij Wetterskip Fryslân behorende gemeenschappelijke regelingen. In de gemeenschappelijke regeling moet wel expliciet vermeld staan dat de archivering door Wetterskip Fryslân geschiedt. De selectielijst is vanaf de datum van inwerkingtreding ook van toepassing op de archieven van eventuele rechtsvoorgangers.

De bewaar- en vernietigingstermijnen genoemd in de huidige selectielijst voldoen niet aan de AVG en is daarmee niet up-to-date. Wanneer bij de keuze van de bewaar- en/of vernietigings-termijn wordt afgeweken van de termijnen zoals vermeld in de selectielijst, omdat bijvoorbeeld bijzondere wetgeving van toepassing is of een andere onderbouwde reden, dan wordt dit vastgelegd in de lijst van informatiebeheerregimes. Dit is een lijst waarop staat aangegeven hoe om te gaan met de bewaar-/vernietigingstermijnen van bepaalde (sub)categorieën van persoonsgegevens. De lijst waarborgt dat alle aanwezige informatie bruikbaar, toepasbaar en vindbaar is en niet onnodig lang wordt bewaard. In bijlage 3 is dit verder uitgewerkt.

Alle archiefbescheiden worden geregistreerd en gearchiveerd in het Document Management Systeem (DMS) en/of zaaksysteem met bijbehorende autorisatie en vertrouwelijkheid. Dossiers die permanent bewaard worden, overeenkomstig de selectielijst (Archiefwet) en andere bijzonder wet- en regelgeving, worden na de wettelijke bewaartermijn van 10 of 20 jaar overgebracht naar de archiefbewaarplaats/e-depot van Wetterskip Fryslân.

4.3. Archiefbewaarplaatsen

De belangrijkste bepaling voor archiefstukken in een archiefbewaarplaats/e-depot is dat deze documenten in principe openbaar zijn, echter de eis van passende beveiliging en beperking van verwerking tot wat noodzakelijk is voor het doel, blijft bestaan.

Voor de verwerking van persoonsgegevens in archiefbewaarplaatsen gelden een aantal uitzonderingen (art. 45 UAVG (3) ). Het gaat om uitzonderingen inzake archivering in het algemeen belang. De rechten van betrokkenen zijn:

  • Het recht om inzage te verkrijgen in de archiefbescheiden, tenzij verzoeken om inzage zodanig ongericht zijn dat deze in redelijkheid niet kunnen worden ingewilligd;

  • Het recht om, in geval van onjuiste persoonsgegevens, een eigen lezing aan de desbetreffende archiefbescheiden toe te voegen.

Wetterskip Fryslân kan voor een bepaalde tijd beperkingen op de openbaarheid aanbrengen op drie gronden, te weten:

  • eerbiediging van de persoonlijke levenssfeer.

  • Bij het stellen van deze beperking gaat het altijd over identificeerbare en levende personen. Alleen in bijzondere gevallen geldt de eerbiediging van de persoonlijke levenssfeer van overleden personen, bijvoorbeeld reputatie, gedrag, financiële situatie of afbeeldingen. Bij bijzondere persoonsgegevens gaat het om bijvoorbeeld iemands godsdienst, afkomst, gezondheid, strafrechtelijke persoonsgegevens, etc. Bij de maximale openbaarheidsbeperking onder de Archiefwet, worden dossiers met daarin bijzondere persoonsgegevens, maximaal 75 jaar na creatie openbaar;

  • het belang van de Staat of zijn bondgenoten.

  • Bij het stellen van deze beperking gaat het met name om de beveiliging van onderdelen van Wetterskip Fryslân die van vitaal belang zijn voor de instandhouding van het maatschappelijk leven. De openbaarheidsbeperking geldt voor maximaal 50 jaar en het waterschap moet de beperkingsgrond en de termijn onderbouwen;

  • onevenredige bevoor- of benadeling.

  • Bij het stellen van deze beperking gaat het hier met name over de bevoor- en benadeling van natuurlijke personen. Onevenredige bevoor- of benadeling wordt altijd per geval bekeken. Wetterskip Fryslân stelt hiervoor een beperking van de openbaarheid voor van een periode van maximaal 25 jaar na afsluiting van het betreffende dossier.

5. BEWAARTERMIJNEN IN ANDERE WETGEVING

Er zijn meer wetten, besluiten en regelingen die de verwerking van persoonsgegevens regelen. Naast de AVG en UAVG zijn er nog een aantal wetten waarop de Autoriteit Persoonsgegevens toezicht houdt. Dit zijn:

  • De Wet Politiegegevens

  • De Wet justitiële en strafvorderlijke gegevens

  • De Kieswet (voor zover het gaat om verwerking van persoonsgegevens voor verkiezingen in het Europese deel van Nederland)

  • De Wet basisregistratie personen

De bewaartermijnen genoemd in bovenstaande wetten gaan voor de bewaartermijnen zoals opgenomen in de huidige selectielijst. Indien deze termijnen niet overeenkomen met de bewaartermijnen in de selectielijst worden de betreffende categorieën van archiefbescheiden toegevoegd aan de lijst van informatiebeheerregimes.

6. VERNIETIGEN EN VERWIJDEREN

De AVG maakt geen onderscheid tussen vernietigen en verwijderen van persoonsgegevens en spreekt alleen van vernietigen. Wetterskip Fryslân mag gegevens niet langer bewaren dan noodzakelijk voor het doel van de verwerking. Daarna moeten ze worden vernietigd. Vernietigen is een definitieve handeling. De gegevens zijn niet meer terug te halen. Het verwijderen van gegevens is onvoldoende omdat dan de gegevens nog niet definitief weg zijn. Hierdoor komen ze als het ware achter een digitaal schot te staan en zijn niet meer te zien.

Is de bewaartermijn van persoonsgegevens voorbij of zijn de gegevens niet meer noodzakelijk dan moet Wetterskip Fryslân de gegevens vernietigen. Vernietiging houdt in dat informatiedragers een zodanige bewerking ondergaan, dat de informatie hierop niet meer te lezen of te herleiden is. Een informatiedrager kan een papieren stuk zijn, maar bijvoorbeeld ook een computerschijf of CD-ROM. Wetterskip Fryslân gaat zorgvuldig om met persoonsgegevens hetgeen inhoudt dat gekeken wordt op welke manier deze zorgvuldig kunnen worden vernietigd.

Van de vernietiging van archiefbescheiden stelt Wetterskip Fryslân een verklaring van vernietiging op (art. 8 Archiefbesluit). Zie bijlage 1. Deze verklaring bevat:

  • een specificatie van de bescheiden die zijn vernietigd, waarbij vernietigde persoonsgegevens apart worden gespecificeerd;

  • op grond waarvan is vernietigd;

  • op welke wijze de vernietiging heeft plaatsgevonden.

De verklaring wordt geregistreerd en gearchiveerd in het DMS/Zaaksysteem en permanent bewaard in het archief van Wetterskip Fryslân.

6.1 Verwijdering/wissen van persoonsgegevens

Het verwijderen/wissen van persoonsgegevens geschiedt overeenkomstig de privacyregels. Dit betekent dat:

  • persoonsgegevens die niet langer voor het doel noodzakelijk zijn zo spoedig mogelijk worden verwijderd;

  • intern geldt dat na beëindiging van het dienstverband of het verrichten van werkzaamheden ten behoeve van de verwerkingsverantwoordelijke de gegevens nog maximaal twee jaar worden bewaard, tenzij deze gegevens in verband met wettelijke verplichtingen langer bewaard moeten blijven;

  • verwijdering impliceert of een zodanige bewerking dat het niet meer mogelijk is de persoon te identificeren;

  • er een registratie wordt bijgehouden waarin is vermeld wanneer, door wie en met wiens toestemming de gegevens zijn vernietigd;

  • persoonsgegevens zorgvuldig worden verwijderd van afgedankte gegevensdragers, voordat ze de organisatie verlaten.

In bijlage 1. is de procedure voor het vernietigen van persoonsgegevens opgenomen.

6.2 Terugbezorgen en/of wissen van persoonsgegevens bij derden

Persoonsgegevens worden nooit permanent bewaard bij derden. In verwerkersovereenkomsten met derden is het verplicht om een artikel te wijden aan het terugbezorgen en/of wissen van persoonsgegevens. Zodra een overeenkomst wordt beëindigd, draagt verwerker naar keuze van Wetterskip Fryslân zorg voor:

  • het aan Wetterskip Fryslân terugbezorgen van alle of een door Wetterskip Fryslân bepaald gedeelte van aan de verwerker ter beschikking gestelde persoonsgegevens en/of

  • het wissen van (een deel van) de persoonsgegevens op alle locaties.

Bij beëindiging van een overeenkomst verwijdert de verwerker kopieën, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen en behoudens afwijkende wettelijke voorschriften.

De gegevens worden geautomatiseerd overdragen aan Wetterskip Fryslân.

Wetterskip Fryslân heeft het recht om nadere eisen te stellen aan de wijze van terugbezorgen, waaronder het bestandsformaat, de termijn van terugbezorgen en de vernietiging van persoonsgegevens.

6.3 Bewaren en verwijderen van persoonsgegevens in de Cloud

Wanneer er gebruik wordt gemaakt van een applicatie waarbij persoonsgegevens in de Cloud worden opgeslagen, wordt er een verwerkersovereenkomst met de leverancier vastgesteld en ondertekend. In de verwerkingsovereenkomst is opgenomen hoe om te gaan met het terugbezorgen en/of wissen van persoonsgegevens.

6.4 Back-up en recovery

De back-up van data is eveneens een plaats waar persoonsgegevens opgeslagen worden. Wanneer er sprake is van een calamiteit waardoor de data van de back-up teruggeplaatst moet worden op het actieve systeem, spreken we van recovery. Daarbij kunnen ook persoonsgegevens teruggeplaatst worden. Na een recovery wordt altijd geverifieerd of er persoonsgegevens teruggeplaatst zijn die op een (recente) selectie-/vernietigingslijst hebben gestaan.

Wetterskip Fryslân hanteert de volgende uitgangspunten bij het vernietigen of het schonen van persoonsgegevens van de back-ups:

  • er wordt alleen een back-up gemaakt van wat noodzakelijk is en niet standaard alles;

  • back-ups worden met speciaal daarvoor gemaakte programmatuur gemaakt. Een back-up is geen gewone kopie van data op een usb stick of een externe vaste schijf;

  • het recovery proces is zo aangepast dat na terugplaatsing van data een check op de selectie-/vernietigingslijst plaatsvindt. Reeds vernietigde data wordt na recovery wederom vernietigd en hiervan wordt een registratie bijgehouden;

  • bij het terugzetten van een back-up wordt rekening gehouden met eventueel verwijderde of gecorrigeerde gegevens in het kader van de rechten van betrokkene;

  • de back-ups zijn niet standaard algemeen toegankelijk voor de medewerkers van Wetterskip Fryslân;

  • logging en monitoring bij de processen van back-up en recovery is in een procedure vastgelegd.

Vorenstaande geldt ook als er een back-up wordt teruggezet bij of door een leverancier van bijvoorbeeld een informatiesysteem.

Het is wel nodig om oude back-ups te schonen of te vernietigen als de bewaartermijnen van een aantal persoonsgegevens op die back-up verstreken is. Vanwege de dermate grote inspanning is het voldoende dat medewerkers geen toegang meer hebben tot de gegevens van/in de back-up. Daarmee zijn de in de back-up opgeslagen persoonsgegevens buiten het bereik van de actieve processen gebracht. In dit laatste geval dient de back-up wel goed opgeslagen en beveiligd te blijven.

(1) Artikel 5 lid 1.e

(2) Stct. 2011, nr. 22255, d.d. 7 december [NA/2011/8858]

(3) Uitvoeringsregeling AVG

Ondertekening

BIJLAGE 1. Procedure Vernietigen Archiefbescheiden.

Vanuit het proces DIV moet een vernietigingsprocedure voor archiefbescheiden en een format verklaring van vernietiging worden opgesteld, waarna een jaarlijkse structurele vernietiging van archiefbescheiden kan plaatsvinden. Het gaat hier om een wettelijke verplichting.

De informatieadviseur maakt elk jaar in oktober/november de Vernietigingslijst documenten voor het komende jaar aan. Het samenstellen van deze lijst gebeurt automatisch. De lijst geeft een overzicht van die dossier waarvan de bewaartermijn is verstreken. Binnen een dossier is het document wat het langst bewaard moet blijven leidend voor de vernietiging van het betreffende dossier.

De recordmanager en informatieadviseur controleert de Vernietigingslijst documenten op juistheid en volledigheid aan de hand van de Selectielijst Waterschappen, de Zaaktypecatalogus en de lijst van informatiebeheerregimes.

Beslissing

Is de vernietigingslijst akkoord door de recordmanager?

Ja

De vernietigingslijst is in de lijn met de selectielijst, de zaaktypecatalogus en lijst van informatiebeheerregimes

Nee

Terug naar opsteller

De dossierbeheerders worden in staat gesteld de Vernietigingslijst documenten in te zien en te controleren. De te raadplegen dossierbeheerders worden vastgesteld op basis van het gebruik van de te vernietigen documenten. In het belang van de taakuitvoering van Wetterskip Fryslân kunnen de vernietigingstermijn(en) door de informatieadviseur worden opgeschort.

Beslissing

Is de vernietigingslijst akkoord bevonden door de dossierbeheerders?

Ja

Indien de dossierbeheerders akkoord zijn met de vernietigingslijst

Nee

Indien een of meerdere dossiers op aangeven van de dossierbeheerder(s) nog niet vernietigd mogen worden.

De Informatieadviseur legt de lijst ter inzage via de Wettergong en Narrowcasting middels onderstaande tekst. De inzage termijn is 3 weken.

Vernietiging archiefstukken Wetterskip Fryslân is verplicht elk jaar archiefstukken te vernietigen. Dit gebeurt op basis van wettelijke regelingen en landelijke vernietigingslijsten. We hebben een lijst opgesteld met daarop alle documenten die we in <jaar> willen gaan vernietigen. Deze vernietigingslijst ligt van < datum > ter inzage tot <datum + drie weken>. Bekijken kan via een linkje. Als er gegronde redenen zijn, kan de vernietigingstermijn van het betreffende dossier worden opgeschort.

De Informatieadviseur maakt de definitieve vernietigingslijst op aan de hand van ontvangen reacties.

De Recordmanager stelt de Verklaring van vernietiging op. De Vernietigingslijst documenten wordt toegevoegd als bijlage.

De Dijkgraaf ondertekent de Verklaring van vernietiging namens het Dagelijks Bestuur.

De Informatieadviseur is verantwoordelijk voor de vernietiging van de dossiers en documenten. Vernietiging van digitale dossiers vindt zoveel mogelijk automatisch plaats. De analoge dossiers en documenten worden ter vernietiging aangeboden aan de gecontracteerde afvalverwerker. De digitale dossiers en documenten worden indien nodig uit het DMS verwijderd.

Bij vernietigen van documenten is altijd te herleiden wat er vernietigd is door de bewaring van de verklaring van vernietiging.

BIJLAGE 2. Procedure Vernietigen overige persoonsgegevens.

Voor persoonsgegevens, niet zijnde archiefbescheiden, zijn op grond van de AVG geen concrete bewaar-/vernietigingstermijnen aanwezig. Wetterskip Fryslân bepaalt zelf hoe lang zij deze persoonsgegevens bewaart.

Procedure.

  • 1.

    Persoonsgegevens worden direct vernietigd als niet aan de volgende voorwaarden wordt voldaan:

    • het verwerken van persoonsgegevens is gebaseerd op een van de volgende grondslagen zoals opgenomen in de AVG, te weten:

      • 1.

        toestemming van de betrokken persoon;

      • 2.

        verwerking is noodzakelijk ter bescherming van de vitale belangen

      • 3.

        verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;

      • 4.

        verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen;

      • 5.

        verwerking is noodzakelijk om een overeenkomst uit te voeren;

      • 6.

        verwerking is noodzakelijk omdat dit een wettelijke verplichting is.

    • het doel en de grondslag waarvoor deze persoonsgegevens worden verwerkt kan worden aangetoond tijdens controle- en toetsingsmomenten.

  • 2.

    Zodra het doel waarvoor persoonsgegevens worden verwerkt is verstreken moet vernietiging van deze gegevens direct plaatsvinden. Vernietigen houdt in dat de persoonsgegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm.

  • 3.

    Verantwoordelijk voor de vernietiging van persoonsgegevens is de beheermedewerker en de eindverantwoordelijke is de betreffende leidinggevende. De IM servicedesk is verantwoordelijk voor het permanent vernietigen van bestanden van een specifieke locatie.

  • 4.

    Vernietiging van digitale en analoge persoonsgegevens geschiedt op de volgende manier:

  • Digitale persoonsgegevens:

    • De beheermedewerker verwijdert persoonsgegevens door een zodanige bewerking toe te passen dat het niet meer mogelijk is een persoon te identificeren;

    • Na elke verwijdering van documenten met persoonsgegevens ledigt de beheermedewerker de prullenbak op pc, laptop, etc.

  • Analoge persoonsgegevens:

    • De beheermedewerker vernietigt analoge persoonsgegevens door deze in de daarvoor bestemde containers voor vernietiging van vertrouwelijk papier te deponeren.

BIJLAGE 3. Lijst van informatiebeheerregimes ten behoeve van privacy.

Wetterskip Fryslân heeft te maken met verschillende categorieën persoonsgegevens. In grote lijnen zijn deze als volgt te specificeren:

  • persoonsgegevens, als onderdeel van archiefbescheiden

  • overige persoonsgegevens

Hoe Wetterskip Fryslân omgaat met het bewaren en vernietigen van persoonsgegevens is vastgelegd in de beleidsnotitie/-uitgangspunten bewaren en vernietigen van persoonsgegevens in verband met privacy. Overeenkomstig het vermelde in hoofdstuk 4.2. en 5. wordt gebruik gemaakt van onderstaand format om de bewaartermijnen van betreffende categorieën en op basis van betreffende wettelijke verplichting en/of AVG vast te leggen. Deze lijst is een aanvulling op de huidige vastgestelde selectielijst tot het moment waarop de selectielijst wordt herzien en de betreffende categorieën met bewaartermijnen daarin zijn opgenomen. De bewaartermijnen in deze lijst gaan voor de bewaartermijnen zoals opgenomen in de selectielijst.

Verantwoordelijkheid.

De medewerkers van de lijn zijn verantwoordelijk voor het toepassen van de juiste bewaartermijnen voor persoonsgegevens. Wanneer bewaartermijnen, genoemd in specifieke wetgeving, niet overeenkomen met de bewaartermijnen in de selectielijst wordt dit doorgegeven aan de Informatieadviseurs DIV. De correcte bewaartermijnen worden toegevoegd aan de lijst van Informatiebeheerregimes. De Informatieadviseurs DIV zorgen ervoor dat de lijst in actuele bewaartermijnen voorziet.

Toegankelijkheid.

De lijst van informatiebeheerregimes is evenals de selectielijst via Intranet - Wetterticht toegankelijk voor raadpleging.

Voorbeeld:

Categorie persoonsgegevens

Wettelijke basis

Richtlijn AVG

Bewaartermijn/vernietigen na

Facturen en financiële administratie

Artikel 52 AWR (Algemene wet rijksbelastingen) en Bw 2: 10.3

7 jaar na afloop van het boekjaar

Salarisafspraken en arbeidsvoorwaarden

Artikel 52 AWR

7 jaar na afloop van het boekjaar

Subsidie administraties

Artikel 4:69 Awb (Algemene wet bestuursrecht)

10 jaar na afhandeling

Sollicitatiegegevens

Ja

4 weken na beëindiging van de procedure, met toestemming maximaal 1 jaar

Boeterapporten

Artikel 14 Wet Politiegegevens

5 jaar

(4) Voorbeelden van persoonsgegevens, niet zijnde archiefbescheiden, zijn:

  • adressenlijstjes van collega’s

  • adressenlijstjes incl. eventuele telefoonnummer en emailadressen voor het organiseren van evenementen, studiedagen, etc.

  • kopieën van (archief)documenten met persoonsgegevens opgeslagen op netwerkschijven en/of bureaublad of in kasten