BESCHERMING PERSOONSGEGEVENS Update van het privacy recht Utrecht, 16 april 2014 Vereniging voor Pensioenrecht Inhoudsopgave ► ► Wat is privacy? Wet bescherming persoonsgegevens ► ► Pensioenregister/UPO De nieuwe EU Privacy Verordening ► ► ► ► Kernbegrippen Kenmerken Verplichtingen De 7 grootste veranderingen Handhaving Hoe bereiden organisaties zich voor? Privacy audit - tips and tricks Waar gaat het mis? 16 april 2014 Pagina 2 Wat is privacy? ► Mind reading 16 april 2014 Pagina 3 Wettelijk kader (II) Betrokkenen Verdragen -EU -Internationaal Nationale wetgeving Branche en/of sectorale regelgeving/normen / richtlijnen Zelfregulering • EU Data protection Directive • Data retention Directive • Universele gebruiksrichtlijnen • […] • Wet bescherming persoonsgegevens • Wet financieel toezicht • Wetboek van Strafrecht • Arbeidsrecht • IE recht • Wet bewaarplicht telecommunicatie gegevens (?) (EHvJ:C-293/12 en C-594/12) • […] • Gedragscodes (o.a. verwerking persoonsgegevens financiële instellingen, zorgverzekeraars, • ISO code Informatiebeveiliging 27001 • Code banken • NEN7510 • CBP zelfaudit/AV23 - Protocol - Gedrag - ICT - Beveiliging - Privacy Personeel Sollicitanten Werknemers Zieke werknemers Ex werknemers Afnemers Potentiële cliënten Pensioengerechtig den/leden Bijzondere pg/leden Ex cliënten Toeleveranciers ICT BPO ZZP’ers Adviseurs 16 april 2014 Pagina 6 Kernbegrippen Wbp (II) ► Betrokkene Degene op wie een persoonsgegeven betrekking heeft. ► Verantwoordelijke Degene die het doel en middelen voor de verwerking vaststelt. ► Pensioenverzekeraar of pensioenuitvoerder? Bewerker Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder rechtstreeks aan zijn gezag te zijn onderworpen. ► ► Applicatiebeheerder Pensioenuitvoerder? College bescherming persoonsgegevens (Cbp) Toezichthouder op naleving van de Wbp, alsmede adviesorgaan over wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens. Meldplicht bij FG of Cbp (Annex 1) 16 april 2014 Pagina 9 Kenmerken van de Wbp ► Open normen ► ► Minimum eisen Gedragscodes ► Organisaties kunnen zelf een gedragscode vaststellen omtrent de verwerking van persoonsgegevens. Gedragscode Verwerking Persoonsgegevens Financiële Instellingen Zelfregulering ► Termen zoals “passend”, “adequaat”, “zorgvuldig”, “behoorlijk”. Binding Corporate Rules (BCR) – interne gedragsregels binnen multinational en goedgekeurd door de privacy autoriteit Internationalisering neemt toe - minder controle over data Internet, cloud computing, virtualisatie. 16 april 2014 Pagina 10 Verplichtingen uit de Wbp 1. 2. 3. 4. 5. 6. 7. 8. 9. Juridische grondslag Doelbinding Kwaliteit en proportioneel Beveiliging Bewaartermijn Informatieplicht Melding van de verwerking bij Cbp Geheimhouding Doorgifte buiten EU 16 april 2014 Pagina 11 Kernbegrippen Wbp (I) ► Persoonsgegevens Gegevens betreffende geïdentificeerde of identificeerbaar natuurlijk persoon. ► ► ► ► NAW-gegevens E-mailadres Geboortedatum Bijzondere persoonsgegevens Gegevens betreffende gezondheid, ras, godsdienst, politieke gezindheid, seksuele leven. ► ► ► ► ► Strafrechtelijke gegevens Medische gegevens Seksuele voorkeur Foto Verwerking Onder andere verzamelen, vastleggen, ordenen, bewaren, wijzigen, opvragen, raadplegen, gebruiken. 16 april 2014 Pagina 8 Kernbegrippen Wbp (II) ► Betrokkene Degene op wie een persoonsgegeven betrekking heeft. ► Verantwoordelijke Degene die het doel en middelen voor de verwerking vaststelt. ► Pensioenverzekeraar of pensioenuitvoerder? Bewerker Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder rechtstreeks aan zijn gezag te zijn onderworpen. ► ► Applicatiebeheerder Pensioenuitvoerder? College bescherming persoonsgegevens (Cbp) Toezichthouder op naleving van de Wbp, alsmede adviesorgaan over wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens. Meldplicht bij FG of Cbp (Annex 1) 16 april 2014 Pagina 9 Kenmerken van de Wbp ► Open normen ► ► Minimum eisen Gedragscodes ► Organisaties kunnen zelf een gedragscode vaststellen omtrent de verwerking van persoonsgegevens. Gedragscode Verwerking Persoonsgegevens Financiële Instellingen Zelfregulering ► Termen zoals “passend”, “adequaat”, “zorgvuldig”, “behoorlijk”. Binding Corporate Rules (BCR) – interne gedragsregels binnen multinational en goedgekeurd door de privacy autoriteit Internationalisering neemt toe - minder controle over data Internet, cloud computing, virtualisatie. 16 april 2014 Pagina 10 Verplichtingen uit de Wbp 1. 2. 3. 4. 5. 6. 7. 8. 9. Juridische grondslag Doelbinding Kwaliteit en proportioneel Beveiliging Bewaartermijn Informatieplicht Melding van de verwerking bij Cbp Geheimhouding Doorgifte buiten EU 16 april 2014 Pagina 11 Een concreet voorbeeld ► Beveiliging (13 Wbp): ► ► De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich mee brengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Wat moet een organisatie nu doen om te garanderen dat er een passend beveiligingsniveau is? Nadere invulling in de Richtsnoeren Beveiliging Persoonsgegevens van het Cbp (2013): Risicoanalyse, maak gebruik van bestaande beveiligingsmaatregelen, controleer en evalueer. Hoe gevoeliger de persoonsgegevens, des te strenger de beveiligingseisen. Privacy Enhancing Technologies: encryptie, versleuteling, anonymisering 16 april 2014 Pagina 12 PR / UPO (I) Artikel 51 Pensioenwet 1. Er is een pensioenregister, ingericht en in stand gehouden door de pensioenuitvoerders, dat tot doel heeft op duidelijke en begrijpelijke wijze de aanspraakgerechtigde in de gelegenheid te stellen gegevens over zijn pensioenaanspraken te raadplegen. […] 2. De pensioenuitvoerder verstrekt op verzoek van de aanspraakgerechtigde tijdig zijn gegevens met betrekking tot pensioenaanspraken door middel van het pensioenregister. 16 april 2014 Pagina 13 Studierapport ENISA ► “The principle of minimal disclosure (when collecting personal data) and the principle of minimal storage period (when storing data) is operationalized” ► Verzamel alleen noodzakelijke data – niet meer dan je nodig hebt. ► Alleen data opslaan zolang dit noodzakelijkwijs nodig is (met inachtneming data retention requirements) 16 april 2014 Pagina 21 Nieuwe Privacy Verordening ► Op 25 januari 2012 heeft de Europese Commissie een voorstel voor een nieuwe verordening voor gegevens bescherming gepubliceerd (Verordening). ► Het doel van deze Verordening is: vervanging van de bestaande regels omtrent gegevensbescherming inclusief de regels van de Privacy Richtlijn uit 1995 (95/46/EC); en meer samenhangend en coherent beleid over het fundamentele recht op de bescherming van persoonsgegevens. WANT… 16 april 2014 Pagina 15 Doel van de Verordening ► Nu (Richtlijn): ► De huidige Richtlijn is onsamenhangend geïmplementeerd in de nationale regelgeving van de lidstaten in de EU (verschillen in nationele wetgeving). Breed gedragen perceptie dat er significante risico’s verbonden zijn aan de verschillen tussen de nationale wetgevingen, gelet op de toenemende online activiteiten (internet, cloud). 2014-2015 (Verordening): Eén set uniforme regels die voor de gehele EU van toepassing zijn en gelden. Burgers en ondernemingen in een lidstaat zijn rechtstreeks gebonden. Verordening wordt als meest passend geacht voor het nieuwe juridisch raamwerk. Verbetering en uitbreiding handhavingsmogelijkheden autoriteiten. 16 april 2014 Pagina 16 Beschikbaar materiaal Contact: [email protected] @peterkits ; @hvgipit 16 april 2014 Pagina 32 1: Right to be forgotten ► ► ► ► ► Een ieder heeft het recht om vergeten te worden. Individuen mogen verzoeken tot het wissen van hun persoonsgegevens, als er geen rechtmatige grondslag bestaat om de gegevens te bewaren (re-recruiting, archivering, potentiele juridische kwesties?). Het recht om vergeten te worden, moet worden afgewogen tegen andere rechten zoals vrijheid van meningsuiting. Verstrekkende verplichting voor de verantwoordelijke: hij zal derde partijen moeten informeren over het verzoek van de betrokkene om de informatie te wissen (en links op het internet!). Verbod op profiling. 16 april 2014 Pagina 18 2: Accountability ► De verantwoordelijkheid van de verantwoordelijke zal toenemen. De verantwoordelijke moet interne beleidsregels toepassen en passende beschermingsmaatregelen invoeren en toepassen, zoals: ► invoeren van beveiligingseisen voor gegevens; uitvoeren van een gegevens bescherming risico beoordeling (PIA). Deze maatregelen moeten garanderen dat de verwerking van de persoonsgegevens in overeenstemming is met de Verordening. 16 april 2014 Pagina 19 Holland Van Gijzen Advocaten en Notarissen LLP Holland Van Gijzen Advocaten en Notarissen LLP (HVG) is een limited liability partnership opgericht naar het recht van Engeland en Wales met registratienummer OC335658. In relatie tot Holland Van Gijzen Advocaten en Notarissen LLP wordt de term partner gebruikt voor een (vertegenwoordiger van een) vennoot van Holland Van Gijzen Advocaten en Notarissen LLP. Holland Van Gijzen Advocaten en Notarissen LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd Koninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamer van Koophandel Rotterdam onder nummer 24433164. Holland Van Gijzen Advocaten en Notarissen LLP heeft een strategische alliantie met Ernst & Young Belastingadviseurs LLP. Op onze werkzaamheden zijn algemene voorwaarden van toepassing, waarin is opgenomen dat iedere aansprakelijkheid is beperkt tot het bedrag dat in het desbetreffende geval onder onze beroepsaansprakelijkheidsverzekering wordt uitbetaald. De algemene voorwaarden zijn gedeponeerd bij de Kamer van Koophandel Rotterdam en zijn in te zien op www.hollandlaw.nl. Studierapport ENISA ► “The principle of minimal disclosure (when collecting personal data) and the principle of minimal storage period (when storing data) is operationalized” ► Verzamel alleen noodzakelijke data – niet meer dan je nodig hebt. ► Alleen data opslaan zolang dit noodzakelijkwijs nodig is (met inachtneming data retention requirements) 16 april 2014 Pagina 21 4: Meldplicht datalekken ► Ondernemingen en organisaties moeten – onverwijld en indien mogelijk binnen 72 uur – de toezichthouder EN de betrokken individuen informeren over datalekken die negatieve gevolgen hebben voor individuen. ► Nu alleen meldplicht voor telecomproviders (KPN of Vodafone) (11.3a Telecommunicatiewet). ► De Nederlandse overheid anticipeert op de Verordening, met een recent wetsvoorstel (d.d. 21 juni 2013) voor aanpassing van de Wbp. Verplichting om het Cbp te informeren bij inbreuk op beveiligingsmaatregel; Verplichting om ook betrokken te informeren indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Boete van maximaal € 450.000 bij niet melden. Ministerraad is akkoord. 20 juni 2013 naar Tweede Kamer. Nog niet behandeld. 16 april 2014 Pagina 22 5: Data Impact Assessment ► ► ► Een Data Impact Assessment moet door een verantwoordelijke of bewerker worden uitgevoerd vóórdat de persoonsgegevens worden verwerkt. In de Verordening wordt een Data Impact Assessment verplicht gesteld. Middels een Data Impact Assessment worden onder meer aan de hand van mogelijke risico’s, de beoogde maatregelen en de procedures in kaart gebracht, die de bescherming van de persoonsgegevens waarborgen en overeenstemming met de Verordening aantonen. 16 april 2014 Pagina 23 6: Verplichte Functionaris van de Gegevensbescherming (FG) ► Wat is een FG? ► Richtlijn: keuze van de lidstaat of de FG optioneel of verplicht is. ► Wbp: optioneel, register FG’s. Verordening/rapport: een FG is verplicht indien de organisatie: Van minimaal 5000 betrokkenen per jaar persoonsgegevens worden verwerkt; Bijzondere persoonsgegevens verwerkt. De FG wordt voor 4 jaar aangesteld. 16 april 2014 Pagina 24 7: Doorgifte buiten de EU ► De nieuwe Verordening maakt internationale doorgifte van persoonsgegevens simpeler. Het is toegestaan om persoonsgegevens door te geven buiten de EU indien deze doorgifte gebaseerd is op Binding Corporate Rules (BCR), en zijn toegestaan door één nationale toezichthouder. ► BCR voor bewerkers. ► Ondernemingen die in de EU actief zijn hoeven aan één toezichthouder melding te doen, ongeacht het aantal EU landen waar zij actief zijn. 16 april 2014 Pagina 25 Handhaving ► De Verordening versterkt de positie van de nationale privacy toezichthouders: Opleggen van administratieve en juridische rechtsmiddelen indien de rechten op gegevensbescherming zijn aangetast; Namens de betrokkene (onrechtmatige) handelingen bij de rechter voorbrengen; Reputatie- en naamschade door meldingsplicht datalekken Opleggen van boetes tot 5% van de wereldwijde jaarlijkse omzet van de onderneming, maximum 150 miljoen (!). 16 april 2014 Pagina 26 Hoe bereiden organisaties zich voor? ► Stay informed! ► Inventariseer waar persoonsgegevens zich bevinden/ worden verwerkt (data kwalificatie). ► Stel op basis van risico analyse vast waar de risico’s zich bevinden (technisch, organisatorisch, juridisch perspectief) afhankelijk van complexiteit van de organisatie of intensiteit van internationale uitwisseling van persoonsgegevens. ► Zorg voor beleid – privacy en informatiebeveiliging ► Onderken belangrijkste rollen en verantwoordelijkheden (intern, extern) ► Privacy scan, privacy audit 16 april 2014 Pagina 27 Privacy audit - Wat en waarom? ► Op basis van bijv. BCR verplichting tot verrichten van interne audits. ► Wordt voldaan aan voorwaarden in BCR? ► ► ► ► ► ► ► Interne awareness Training Processen en documentatie Risico management Contractmanagement Roles & responsibilities Governance ► Op basis van interviews, zelf onderzoek en beschikbare documentatie wordt een oordeel gevormd over de compliancy met BCR en privacy cultuur binnen de organisatie, maar ook van lokale wet- en regelgeving. ► Over het algemeen komt uit de audit een aantal bevindingen - risico’s risicoinschatting (high-medium-low). Deze zullen opvolging moeten krijgen binnen de organisatie en waar nodig geminimaliseerd. 16 april 2014 Pagina 28 Privacy audit - tips and tricks ► Vrijwel ieder bedrijf verwerkt persoonsgegevens. De belangrijkste vragen in dat verband zijn: ► Worden er bijzondere persoonsgegevens verwerkt? Worden de gegevens bewaard in de cloud, en zo ja, waar ‘hangt’ de cloud en hoe is deze beveiligd? Worden de gegevens (tevens) verwerkt door een derde? Worden de gegevens aan landen buiten Europa doorgegeven? Bestaat er een beleid voor de verwerking van persoonsgegevens? Privacy policies, HR policies, contractuele relaties met derden Governance structuur? ► Is melding gedaan over de gegevensverwerking (nog actueel)? ► Hoe is de beveiliging geregeld? Risico analyse? Fysieke (systeem)beveiliging? 16 april 2014 Pagina 29 Privacy compliance vereist aandacht en inzet vanuit de hele organisatie; op een geïntegreerde wijze, vanuit People, Process & Technology Privacy is van toepassing op verschillende afdelingen ► ► ► Informatiebeveiliging ‘Portable media protection’ Data overdracht ► ► ► Information management ► Financiële resultaten Processen waarin informatie wordt verwerkt overeenkomsten, regelingen met derden Compliance programma’s ► ► ► ► ► Legal and compliance Finance ► ► ► ► Privacy ► Effectieve controles Voldoen aan beleid ► ► ► Other business units Internal audit ► Merk en reputatie Human resource management Finance and accounting Procurement Marketing Sales Klantenservice Technische ondersteuning Retail activiteiten Research and development Verplichte rapportages … ► Marketing & Communications Human resources ► ► Training and bewustzijn Payroll, benefits management, prestatie en ontwikkeling, werving en selectie Uitstroom proces Direct-to-customer interactie De multidisciplinaire betrokkenheid vraagt vooraf om een groepsbrede afstemming van gewenst beleid ten aanzien van privacy 30 Waar gaat het mis? ► ► ► ► ► ► ► ► ► ► Privacy beleid ontbreekt, is verouderd en/of niet bekend bij eenieder binnen de organisatie Privacy beleid wordt niet volledig ondersteund door informatiebeveligingsbeleid Persoonsgegevens worden verstrekt aan derden zonder toestemming van betrokkene of zonder deugdelijke bewerkersovereenkomst Geen (complete) inventarisatie – waar hebben we persoonsgegevens staan en waar worden deze verwerkt? Cloud? Access control: wie hebben er toegang tot persoonsgegevens? Portable media: encrypted? Test data: geanonimiseerd? Zo nee, net zo goed beveiligd als productie data? Data destruction: wordt de data tijdig en veilig vernietigd? Geen beleid t.a.v. Data protection vs. Data retention Big data, data analytics zonder data governance. 16 april 2014 Pagina 31 Beschikbaar materiaal Contact: [email protected] @peterkits ; @hvgipit 16 april 2014 Pagina 32 Gegevensbescherming Link naar aanvullende informatie. http://ec.europa.eu/justice/newsroom/dataprotection/news/120125_nl.htm ► 16 april 2014 Pagina 33 Holland Van Gijzen Advocaten en Notarissen LLP Holland Van Gijzen Advocaten en Notarissen LLP (HVG) is een limited liability partnership opgericht naar het recht van Engeland en Wales met registratienummer OC335658. In relatie tot Holland Van Gijzen Advocaten en Notarissen LLP wordt de term partner gebruikt voor een (vertegenwoordiger van een) vennoot van Holland Van Gijzen Advocaten en Notarissen LLP. Holland Van Gijzen Advocaten en Notarissen LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd Koninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamer van Koophandel Rotterdam onder nummer 24433164. Holland Van Gijzen Advocaten en Notarissen LLP heeft een strategische alliantie met Ernst & Young Belastingadviseurs LLP. Op onze werkzaamheden zijn algemene voorwaarden van toepassing, waarin is opgenomen dat iedere aansprakelijkheid is beperkt tot het bedrag dat in het desbetreffende geval onder onze beroepsaansprakelijkheidsverzekering wordt uitbetaald. De algemene voorwaarden zijn gedeponeerd bij de Kamer van Koophandel Rotterdam en zijn in te zien op www.hollandlaw.nl. Annex 1: vrijstellingsbesluit ► ► ► ► ► ► ► ► ► ► ► Handreiking Vrijstellingsbesluit Paragraaf 2. Arbeid en pensioen: Vrijstelling 8. (Artikel 10 Vrijstellingsbesluit) Beschrijving van de vrijstelling voor meldplicht Deze vrijstelling heeft betrekking op de verwerking van pensioen- en spaarfondsen en verzekeringsmaatschappijen over betrokkenen die aanspraak maken op pensioen of uitkering in verband met vervroegde uittreding. Deze verantwoordelijken hoeven de verwerking van persoonsgegevens in het kader van aanspraken op pensioen of VUT-uitkering niet te melden als aan de volgende voorwaarden is voldaan. 1. Toegestane doeleinden van de verwerking De verwerking mag alleen geschieden voor: het vaststellen van de hoogte van de aanspraak van de betrokkene; het berekenen, vastleggen en innen van premies; het berekenen, vastleggen en betalen van het pensioen of de uitkering aan of ten behoeve van de betrokkene; de berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen; het innen van vorderingen (inclusief het in handen van derden stellen van vorderingen); het behandelen van geschillen; het doen uitoefenen van accountantscontrole; de uitvoering of toepassing van een andere wet. 16 april 2014 Pagina 35 2. Toegestane (categorieën) verwerkte gegevens Alleen de volgende persoonsgegevens mogen worden verwerkt: naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens (bijvoorbeeld het e-mailadres), alsmede het bankrekeningnummer van de betrokkene; ► een administratienummer, als dat geen andere informatie bevat dan de bij het vorige punt bedoelde gegevens en de volgende gegevens: - het tijdstip waarop gegevens over de betrokkene in de administratie zijn opgenomen, - een verwijzing naar de werkgever door wiens tussenkomst de aanspraak op het pensioen of de uitkering tot stand is gekomen, en - een verwijzing naar de betrokken bedrijfstak. ► nationaliteit en geboorteplaats van de betrokkene; ► gegevens (inclusief gegevens die betrekking hebben op andere begunstigden dan de betrokkene) voor de vaststelling van de hoogte van de aanspraak van de betrokkene; ► gegevens voor het berekenen, vastleggen en innen van premies; ► gegevens voor het berekenen, vastleggen en betalen van het pensioen of de uitkering aan of ten behoeve van de betrokkene; ► andere dan de hierboven opgesomde gegevens als die verwerkt moeten worden op grond van een andere wet. 16 april 2014 Pagina 36 3. Toegestane (categorieën) ontvangers van de gegevens De persoonsgegevens mogen alleen worden verstrekt aan: degenen, inclusief derden, die: - belast zijn met de hierboven onder 1. opgesomde werkzaamheden, of - leiding geven aan de hierboven onder 1. opgesomde werkzaamheden, of - noodzakelijk zijn betrokken bij de hierboven onder 1. opgesomde werkzaamheden. anderen, indien: - de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking, of - de gegevensverwerking noodzakelijk is voor de nakoming van een wettelijke plicht door de verantwoordelijke, of - de gegevensverwerking noodzakelijk is vanwege een vitaal belang van de betrokkene (bijvoorbeeld een dringende medische noodzaak), of - de gegevens verder worden verwerkt voor historische, statistische of wetenschappelijke doeleinden. Voorwaarde hierbij is dat de verantwoordelijke ervoor zorgt dat de gegevens ook alleen voor deze specifieke doeleinden verder worden verwerkt. een vereniging van oud-personeelsleden voor het overleg en de organisatie van een medezeggenschapsorgaan van gepensioneerden bij pensioenregelingen. In dit geval mogen de gegevens alleen worden verstrekt: - voor zover het gaat om de bij het eerste punt hierboven onder 2. bedoelde gegevens, en - nadat het voornemen om de gegevens te verstrekken is medegedeeld aan de betrokkene of diens wettelijke vertegenwoordiger en deze gedurende een redelijke termijn de gelegenheid heeft gehad om zijn recht op verzet (als bedoeld in artikel 40 Wbp) uit te oefenen. 16 april 2014 Pagina 37 4. Toegestane bewaartermijn De persoonsgegevens moeten worden verwijderd uiterlijk twee jaar nadat de aanspraken van de betrokkene zijn beëindigd. Langer bewaren van de gegevens is alleen toegestaan als de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. 16 april 2014 Pagina 38
© Copyright 2024 ExpyDoc
