AVG & klokkenluiden
Mensen die een melding doen via een klokkenluiderssysteem kunnen persoonlijke gegevens in hun bericht opnemen. Organisaties die een klokkenluiderssysteem willen opzetten voor hun medewerkers, leveranciers of andere partijen moeten rekening houden met de privacyaspecten die meespelen. Bijvoorbeeld: hoe moet u in klokkenluiderssystemen omgaan met de bewaartermijnen van gegevens in overeenstemming met de AVG?
De gegevens moeten zo kort mogelijk worden opgeslagen. Of zoals bepaald in artikel 5 (1) (e), van Verordening (EU) nr. 2016/679 (de algemene verordening inzake gegevensbescherming of AVG): “persoonsgegevens worden niet langer bewaard dan nodig is voor het doel waarvoor zij worden verwerkt“.
U moet dus nadenken over hoe lang u persoonlijke gegevens kunt bewaren en voor welk doel u ze bewaart.
Artikel 29 van de Groep gegevensbescherming geeft nadere richtlijnen in hun advies 1/2006: “Persoonsgegevens die door een klokkenluidersregeling worden verwerkt, moeten onmiddellijk, en meestal binnen twee maanden na afronding van het onderzoek naar de in het rapport veronderstelde feiten, worden gewist“.
Maar in de context van klokkenluiden moet u een paar stappen terug doen voordat u kunt zeggen ‘we verwijderen en/of anonimiseren alles na twee maanden’.
Hoe kunnen de AVG-conforme regels voor het bewaren van gegevens bij het klokkenluiden worden toegepast?
U moet eerst beslissen wanneer een onderzoek kan worden afgesloten. Dit zal per geval verschillen. Een kwestie die geen zaak wordt, kan onmiddellijk worden afgesloten, terwijl onderzoeken naar ernstig wangedrag jaren kunnen duren. Sommige onderzoeken zullen eindigen in een gerechtelijke procedure. Soms zullen er uitzonderingen zijn, zoals HR-gerelateerde verplichtingen, waardoor u bepaalde gegevens langer moet bewaren (bijvoorbeeld voor strafdossiers).
Het is belangrijk om hier rekening mee te houden bij het vaststellen van uw beleid voor de behandeling en afsluiting van zaken. Het is niet een vraag van zwart of wit. Wanneer een zaak binnenkomt, zal de juiste opvolging per zaak verschillen. Dit heeft gevolgen voor de bewaartermijn van de gegevens en wanneer deze begint te lopen.
Het belangrijkste doel van al deze regels voor het bewaren van gegevens is om organisaties kritisch te laten nadenken over de manier waarop ze gegevens opslaan en het goed informeren van mensen. In uw beleid kunt u transparant zijn naar de betrokkenen en eenduidige instructies geven aan de behandelaars van de zaak.
En vergeet natuurlijk ook niet om te controleren of iedereen werkt volgens het sluitingsbeleid van de zaak.