BESCHERMING PERSOONSGEGEVENS Update van het privacy recht Utrecht, 16 april 2014 Vereniging voor Pensioenrecht
Inhoudsopgave ► ►
Wat is privacy? Wet bescherming persoonsgegevens
► ►
Pensioenregister/UPO De nieuwe EU Privacy Verordening
► ► ► ►
Kernbegrippen Kenmerken Verplichtingen
De 7 grootste veranderingen
Handhaving Hoe bereiden organisaties zich voor? Privacy audit - tips and tricks Waar gaat het mis?
16 april 2014
Pagina 2
Wat is privacy? ►
Mind reading
16 april 2014
Pagina 3
Wat is privacy? - persoonlijk
“ALL THAT HAPPENS MUST BE KNOWN”
16 april 2014
Pagina 4
Wat is privacy? - wettelijk kader (I) Privacy, een complex begrip: ►
Verschillende dimensies in Verdragen, Richtlijnen en de Grondwet (Gw):
►
Recht op bescherming van de persoonlijke levenssfeer (10 lid 1 Gw); Recht van het individu zelf te bepalen of, en zo ja waarvoor en welke gegevens worden gebruikt, maar ook worden verzameld, bewerkt of doorgegeven (Art.10 lid 2 Gw). Recht om vrij te zijn van ongewenste toegang in de persoonlijke ruimte van de eigen woning (12 Gw); Recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie (8 EVRM); ‘Right to privacy’ (preamble 95/46/EG)
Wet bescherming persoonsgegevens (Wbp)
16 april 2014
Pagina 5
Wettelijk kader (II) Betrokkenen
Verdragen -EU -Internationaal
Nationale wetgeving
Branche en/of sectorale regelgeving/normen / richtlijnen
Zelfregulering
• EU Data protection Directive • Data retention Directive • Universele gebruiksrichtlijnen • […]
• Wet bescherming persoonsgegevens • Wet financieel toezicht • Wetboek van Strafrecht • Arbeidsrecht • IE recht • Wet bewaarplicht telecommunicatie gegevens (?) (EHvJ:C-293/12 en C-594/12) • […]
• Gedragscodes (o.a. verwerking persoonsgegevens financiële instellingen, zorgverzekeraars, • ISO code Informatiebeveiliging 27001 • Code banken • NEN7510 • CBP zelfaudit/AV23
- Protocol - Gedrag - ICT - Beveiliging - Privacy
Personeel
Sollicitanten
Werknemers
Zieke werknemers
Ex werknemers
Afnemers
Potentiële cliënten
Pensioengerechtig den/leden
Bijzondere pg/leden
Ex cliënten
Toeleveranciers
ICT
BPO
ZZP’ers
Adviseurs
16 april 2014
Pagina 6
Wat is privacy? - internationaal perspectief EU Richtlijn Bescherming Persoonsgegevens
DE: Bundes Datenschutz gesetz
NL: Wbp
UK: Data Protection Act 1998
Nationale wetgeving Bescherming Persoonsgegevens
VS: (*)
Australie: Privacy Act 1988
Maleisië: personal data protection act 2010
*De VS kent geen algemene wetgeving op het gebied van bescherming van persoonsgegevens. De bescherming van persoonsgegevens wordt aldaar sector specifiek aangegeven in wet-, regelgeving, of zelf regulatie. Per staat kunnen bovendien verschillen gelden. Volgens de EU Commissie biedt deze aanpak onvoldoende bescherming voor iemands privacy. Dit houdt in dat voor doorgifte van persoonsgegevens vanuit de EU aan VS additionele maatregelen genomen moeten worden. 16 april 2014
Pagina 7
Kernbegrippen Wbp (I) ►
Persoonsgegevens Gegevens betreffende geïdentificeerde of identificeerbaar natuurlijk persoon. ► ► ►
►
NAW-gegevens E-mailadres Geboortedatum
Bijzondere persoonsgegevens Gegevens betreffende gezondheid, ras, godsdienst, politieke gezindheid, seksuele leven. ► ► ► ►
►
Strafrechtelijke gegevens Medische gegevens Seksuele voorkeur Foto
Verwerking Onder andere verzamelen, vastleggen, ordenen, bewaren, wijzigen, opvragen, raadplegen, gebruiken.
16 april 2014
Pagina 8
Kernbegrippen Wbp (II) ►
Betrokkene Degene op wie een persoonsgegeven betrekking heeft.
►
Verantwoordelijke Degene die het doel en middelen voor de verwerking vaststelt.
►
Pensioenverzekeraar of pensioenuitvoerder?
Bewerker Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder rechtstreeks aan zijn gezag te zijn onderworpen.
►
►
Applicatiebeheerder Pensioenuitvoerder?
College bescherming persoonsgegevens (Cbp) Toezichthouder op naleving van de Wbp, alsmede adviesorgaan over wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens. Meldplicht bij FG of Cbp (Annex 1)
16 april 2014
Pagina 9
Kenmerken van de Wbp ►
Open normen
► ►
Minimum eisen Gedragscodes
►
Organisaties kunnen zelf een gedragscode vaststellen omtrent de verwerking van persoonsgegevens. Gedragscode Verwerking Persoonsgegevens Financiële Instellingen
Zelfregulering
►
Termen zoals “passend”, “adequaat”, “zorgvuldig”, “behoorlijk”.
Binding Corporate Rules (BCR) – interne gedragsregels binnen multinational en goedgekeurd door de privacy autoriteit
Internationalisering neemt toe - minder controle over data
Internet, cloud computing, virtualisatie.
16 april 2014
Pagina 10
Verplichtingen uit de Wbp 1. 2. 3. 4. 5. 6. 7. 8. 9.
Juridische grondslag Doelbinding Kwaliteit en proportioneel Beveiliging Bewaartermijn Informatieplicht Melding van de verwerking bij Cbp Geheimhouding Doorgifte buiten EU
16 april 2014
Pagina 11
Een concreet voorbeeld ►
Beveiliging (13 Wbp):
► ►
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich mee brengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Wat moet een organisatie nu doen om te garanderen dat er een passend beveiligingsniveau is? Nadere invulling in de Richtsnoeren Beveiliging Persoonsgegevens van het Cbp (2013):
Risicoanalyse, maak gebruik van bestaande beveiligingsmaatregelen, controleer en evalueer. Hoe gevoeliger de persoonsgegevens, des te strenger de beveiligingseisen. Privacy Enhancing Technologies: encryptie, versleuteling, anonymisering
16 april 2014
Pagina 12
PR / UPO (I) Artikel 51 Pensioenwet 1. Er is een pensioenregister, ingericht en in stand gehouden door de pensioenuitvoerders, dat tot doel heeft op duidelijke en begrijpelijke wijze de aanspraakgerechtigde in de gelegenheid te stellen gegevens over zijn pensioenaanspraken te raadplegen. […] 2. De pensioenuitvoerder verstrekt op verzoek van de aanspraakgerechtigde tijdig zijn gegevens met betrekking tot pensioenaanspraken door middel van het pensioenregister.
16 april 2014
Pagina 13
PR / UPO (II) 4. De gegevens die op grond van het tweede en derde lid worden verstrekt door middel van het pensioenregister worden in dat kader uitsluitend gebruikt voor het in het eerste lid omschreven doel. 5. Een door Onze Minister aan te wijzen instelling ontwikkelt en beheert het pensioenregister en draagt zorg voor de tijdige verwerking van de gegevens, bedoeld in het tweede en derde lid, en het goed functioneren van het pensioenregister. 6. De instelling, bedoeld in het vijfde lid, is bewerker in de zin van de Wet bescherming persoonsgegevens voor het verwerken van de gegevens die door de pensioenuitvoerders en de Sociale verzekeringsbank, genoemd in hoofdstuk 6 van de Wet structuur uitvoeringsorganisatie werk en inkomen, door middel van het pensioenregister worden verstrekt. 7. De instelling, bedoeld in het vijfde lid, stelt in verband met haar rol als bewerker als bedoeld in het zesde lid een reglement vast waarin regels worden gesteld met betrekking tot het ontwikkelen en beheren van het pensioenregister. Dit reglement bevat in ieder geval regels over de gegevens die verstrekt worden, de wijze waarop deze gegevens verstrekt worden en de bekostiging en beveiliging van het pensioenregister. 16 april 2014
Pagina 14
Nieuwe Privacy Verordening ►
Op 25 januari 2012 heeft de Europese Commissie een voorstel voor een nieuwe verordening voor gegevens bescherming gepubliceerd (Verordening).
►
Het doel van deze Verordening is:
vervanging van de bestaande regels omtrent gegevensbescherming inclusief de regels van de Privacy Richtlijn uit 1995 (95/46/EC); en meer samenhangend en coherent beleid over het fundamentele recht op de bescherming van persoonsgegevens.
WANT… 16 april 2014
Pagina 15
Doel van de Verordening ►
Nu (Richtlijn):
►
De huidige Richtlijn is onsamenhangend geïmplementeerd in de nationale regelgeving van de lidstaten in de EU (verschillen in nationele wetgeving). Breed gedragen perceptie dat er significante risico’s verbonden zijn aan de verschillen tussen de nationale wetgevingen, gelet op de toenemende online activiteiten (internet, cloud).
2014-2015 (Verordening):
Eén set uniforme regels die voor de gehele EU van toepassing zijn en gelden. Burgers en ondernemingen in een lidstaat zijn rechtstreeks gebonden. Verordening wordt als meest passend geacht voor het nieuwe juridisch raamwerk. Verbetering en uitbreiding handhavingsmogelijkheden autoriteiten.
16 april 2014
Pagina 16
7 belangrijkste veranderingen ► ► ► ► ► ► ►
Right to be forgotten Accountability Privacy by Design Meldplicht datalekken Data Impact Assessment Verplichte Functionaris voor de Gegevensbescherming Doorgifte naar landen buiten EU
De planning was dat de Verordening in juni 2014 in werking zou treden. Libe amendementen teruggebracht van 3000 tot 43. Na EU verkiezingen meer duidelijkheid.
16 april 2014
Pagina 17
1: Right to be forgotten
► ►
► ►
►
Een ieder heeft het recht om vergeten te worden. Individuen mogen verzoeken tot het wissen van hun persoonsgegevens, als er geen rechtmatige grondslag bestaat om de gegevens te bewaren (re-recruiting, archivering, potentiele juridische kwesties?). Het recht om vergeten te worden, moet worden afgewogen tegen andere rechten zoals vrijheid van meningsuiting. Verstrekkende verplichting voor de verantwoordelijke: hij zal derde partijen moeten informeren over het verzoek van de betrokkene om de informatie te wissen (en links op het internet!). Verbod op profiling.
16 april 2014
Pagina 18
2: Accountability
►
De verantwoordelijkheid van de verantwoordelijke zal toenemen. De verantwoordelijke moet interne beleidsregels toepassen en passende beschermingsmaatregelen invoeren en toepassen, zoals:
►
invoeren van beveiligingseisen voor gegevens; uitvoeren van een gegevens bescherming risico beoordeling (PIA).
Deze maatregelen moeten garanderen dat de verwerking van de persoonsgegevens in overeenstemming is met de Verordening.
16 april 2014
Pagina 19
3: Privacy by Design ►
Het concept 'Privacy by Design' betekent dat:
► ►
rekening wordt gehouden met privacy gevoelige elementen; en passende maatregelen in de design fase zo vroeg mogelijk worden ingevoerd (alsmede in alle hierop volgende fases zoals verzamelen, gebruiken, openbaren en bewaren).
Op maat gemaakte privacy oplossingen/data minimalisatie. Gedurende de gehele levenscyclus (verzamelen-vernietigen), moeten er voldoende privacy waarborgen worden ingevoerd om de persoonsgegevens zorgvuldig te beschermen en beveiligen.
16 april 2014
Pagina 20
Studierapport ENISA ►
“The principle of minimal disclosure (when collecting personal data) and the principle of minimal storage period (when storing data) is operationalized” ►
Verzamel alleen noodzakelijke data – niet meer dan je nodig hebt.
►
Alleen data opslaan zolang dit noodzakelijkwijs nodig is (met inachtneming data retention requirements)
16 april 2014
Pagina 21
4: Meldplicht datalekken ►
Ondernemingen en organisaties moeten – onverwijld en indien mogelijk binnen 72 uur – de toezichthouder EN de betrokken individuen informeren over datalekken die negatieve gevolgen hebben voor individuen.
►
Nu alleen meldplicht voor telecomproviders (KPN of Vodafone) (11.3a Telecommunicatiewet).
►
De Nederlandse overheid anticipeert op de Verordening, met een recent wetsvoorstel (d.d. 21 juni 2013) voor aanpassing van de Wbp.
Verplichting om het Cbp te informeren bij inbreuk op beveiligingsmaatregel; Verplichting om ook betrokken te informeren indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Boete van maximaal € 450.000 bij niet melden. Ministerraad is akkoord. 20 juni 2013 naar Tweede Kamer. Nog niet behandeld.
16 april 2014
Pagina 22
5: Data Impact Assessment
►
► ►
Een Data Impact Assessment moet door een verantwoordelijke of bewerker worden uitgevoerd vóórdat de persoonsgegevens worden verwerkt. In de Verordening wordt een Data Impact Assessment verplicht gesteld. Middels een Data Impact Assessment worden onder meer aan de hand van mogelijke risico’s, de beoogde maatregelen en de procedures in kaart gebracht, die de bescherming van de persoonsgegevens waarborgen en overeenstemming met de Verordening aantonen.
16 april 2014
Pagina 23
6: Verplichte Functionaris van de Gegevensbescherming (FG) ►
Wat is een FG?
►
Richtlijn: keuze van de lidstaat of de FG optioneel of verplicht is.
►
Wbp: optioneel, register FG’s.
Verordening/rapport: een FG is verplicht indien de organisatie:
Van minimaal 5000 betrokkenen per jaar persoonsgegevens worden verwerkt; Bijzondere persoonsgegevens verwerkt. De FG wordt voor 4 jaar aangesteld.
16 april 2014
Pagina 24
7: Doorgifte buiten de EU
►
De nieuwe Verordening maakt internationale doorgifte van persoonsgegevens simpeler. Het is toegestaan om persoonsgegevens door te geven buiten de EU indien deze doorgifte gebaseerd is op Binding Corporate Rules (BCR), en zijn toegestaan door één nationale toezichthouder.
►
BCR voor bewerkers.
►
Ondernemingen die in de EU actief zijn hoeven aan één toezichthouder melding te doen, ongeacht het aantal EU landen waar zij actief zijn.
16 april 2014
Pagina 25
Handhaving ►
De Verordening versterkt de positie van de nationale privacy toezichthouders:
Opleggen van administratieve en juridische rechtsmiddelen indien de rechten op gegevensbescherming zijn aangetast; Namens de betrokkene (onrechtmatige) handelingen bij de rechter voorbrengen; Reputatie- en naamschade door meldingsplicht datalekken Opleggen van boetes tot 5% van de wereldwijde jaarlijkse omzet van de onderneming, maximum 150 miljoen (!).
16 april 2014
Pagina 26
Hoe bereiden organisaties zich voor? ►
Stay informed!
►
Inventariseer waar persoonsgegevens zich bevinden/ worden verwerkt (data kwalificatie).
►
Stel op basis van risico analyse vast waar de risico’s zich bevinden (technisch, organisatorisch, juridisch perspectief) afhankelijk van complexiteit van de organisatie of intensiteit van internationale uitwisseling van persoonsgegevens.
►
Zorg voor beleid – privacy en informatiebeveiliging
►
Onderken belangrijkste rollen en verantwoordelijkheden (intern, extern)
►
Privacy scan, privacy audit
16 april 2014
Pagina 27
Privacy audit - Wat en waarom? ►
Op basis van bijv. BCR verplichting tot verrichten van interne audits. ► Wordt voldaan aan voorwaarden in BCR? ► ► ► ► ► ► ►
Interne awareness Training Processen en documentatie Risico management Contractmanagement Roles & responsibilities Governance
►
Op basis van interviews, zelf onderzoek en beschikbare documentatie wordt een oordeel gevormd over de compliancy met BCR en privacy cultuur binnen de organisatie, maar ook van lokale wet- en regelgeving.
►
Over het algemeen komt uit de audit een aantal bevindingen - risico’s risicoinschatting (high-medium-low). Deze zullen opvolging moeten krijgen binnen de organisatie en waar nodig geminimaliseerd.
16 april 2014
Pagina 28
Privacy audit - tips and tricks ►
Vrijwel ieder bedrijf verwerkt persoonsgegevens. De belangrijkste vragen in dat verband zijn:
►
Worden er bijzondere persoonsgegevens verwerkt? Worden de gegevens bewaard in de cloud, en zo ja, waar ‘hangt’ de cloud en hoe is deze beveiligd? Worden de gegevens (tevens) verwerkt door een derde? Worden de gegevens aan landen buiten Europa doorgegeven?
Bestaat er een beleid voor de verwerking van persoonsgegevens?
Privacy policies, HR policies, contractuele relaties met derden Governance structuur?
►
Is melding gedaan over de gegevensverwerking (nog actueel)?
►
Hoe is de beveiliging geregeld?
Risico analyse? Fysieke (systeem)beveiliging?
16 april 2014
Pagina 29
Privacy compliance vereist aandacht en inzet vanuit de hele organisatie; op een geïntegreerde wijze, vanuit People, Process & Technology Privacy is van toepassing op verschillende afdelingen ► ► ►
Informatiebeveiliging ‘Portable media protection’ Data overdracht
► ► ►
Information management
►
Financiële resultaten
Processen waarin informatie wordt verwerkt
overeenkomsten, regelingen met derden Compliance programma’s
► ► ► ► ►
Legal and compliance
Finance
► ► ► ►
Privacy
►
Effectieve controles Voldoen aan beleid
►
► ►
Other business units
Internal audit
►
Merk en reputatie
Human resource management Finance and accounting Procurement Marketing Sales Klantenservice Technische ondersteuning Retail activiteiten Research and development Verplichte rapportages …
►
Marketing & Communications
Human resources
► ►
Training and bewustzijn Payroll, benefits management, prestatie en ontwikkeling, werving en selectie Uitstroom proces
Direct-to-customer interactie
De multidisciplinaire betrokkenheid vraagt vooraf om een groepsbrede afstemming van gewenst beleid ten aanzien van privacy
30
Waar gaat het mis? ► ► ► ► ► ► ► ► ► ►
Privacy beleid ontbreekt, is verouderd en/of niet bekend bij eenieder binnen de organisatie Privacy beleid wordt niet volledig ondersteund door informatiebeveligingsbeleid Persoonsgegevens worden verstrekt aan derden zonder toestemming van betrokkene of zonder deugdelijke bewerkersovereenkomst Geen (complete) inventarisatie – waar hebben we persoonsgegevens staan en waar worden deze verwerkt? Cloud? Access control: wie hebben er toegang tot persoonsgegevens? Portable media: encrypted? Test data: geanonimiseerd? Zo nee, net zo goed beveiligd als productie data? Data destruction: wordt de data tijdig en veilig vernietigd? Geen beleid t.a.v. Data protection vs. Data retention Big data, data analytics zonder data governance.
16 april 2014
Pagina 31
Beschikbaar materiaal
Contact:
[email protected] @peterkits ; @hvgipit 16 april 2014
Pagina 32
Gegevensbescherming Link naar aanvullende informatie. http://ec.europa.eu/justice/newsroom/dataprotection/news/120125_nl.htm ►
16 april 2014
Pagina 33
Holland Van Gijzen Advocaten en Notarissen LLP Holland Van Gijzen Advocaten en Notarissen LLP (HVG) is een limited liability partnership opgericht naar het recht van Engeland en Wales met registratienummer OC335658. In relatie tot Holland Van Gijzen Advocaten en Notarissen LLP wordt de term partner gebruikt voor een (vertegenwoordiger van een) vennoot van Holland Van Gijzen Advocaten en Notarissen LLP. Holland Van Gijzen Advocaten en Notarissen LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd Koninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamer van Koophandel Rotterdam onder nummer 24433164. Holland Van Gijzen Advocaten en Notarissen LLP heeft een strategische alliantie met Ernst & Young Belastingadviseurs LLP. Op onze werkzaamheden zijn algemene voorwaarden van toepassing, waarin is opgenomen dat iedere aansprakelijkheid is beperkt tot het bedrag dat in het desbetreffende geval onder onze beroepsaansprakelijkheidsverzekering wordt uitbetaald. De algemene voorwaarden zijn gedeponeerd bij de Kamer van Koophandel Rotterdam en zijn in te zien op www.hollandlaw.nl.
Annex 1: vrijstellingsbesluit ► ►
► ► ► ► ► ► ► ► ►
Handreiking Vrijstellingsbesluit Paragraaf 2. Arbeid en pensioen: Vrijstelling 8. (Artikel 10 Vrijstellingsbesluit) Beschrijving van de vrijstelling voor meldplicht Deze vrijstelling heeft betrekking op de verwerking van pensioen- en spaarfondsen en verzekeringsmaatschappijen over betrokkenen die aanspraak maken op pensioen of uitkering in verband met vervroegde uittreding. Deze verantwoordelijken hoeven de verwerking van persoonsgegevens in het kader van aanspraken op pensioen of VUT-uitkering niet te melden als aan de volgende voorwaarden is voldaan. 1. Toegestane doeleinden van de verwerking De verwerking mag alleen geschieden voor: het vaststellen van de hoogte van de aanspraak van de betrokkene; het berekenen, vastleggen en innen van premies; het berekenen, vastleggen en betalen van het pensioen of de uitkering aan of ten behoeve van de betrokkene; de berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen; het innen van vorderingen (inclusief het in handen van derden stellen van vorderingen); het behandelen van geschillen; het doen uitoefenen van accountantscontrole; de uitvoering of toepassing van een andere wet.
16 april 2014
Pagina 35
2. Toegestane (categorieën) verwerkte gegevens Alleen de volgende persoonsgegevens mogen worden verwerkt: naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens (bijvoorbeeld het e-mailadres), alsmede het bankrekeningnummer van de betrokkene; ► een administratienummer, als dat geen andere informatie bevat dan de bij het vorige punt bedoelde gegevens en de volgende gegevens: - het tijdstip waarop gegevens over de betrokkene in de administratie zijn opgenomen, - een verwijzing naar de werkgever door wiens tussenkomst de aanspraak op het pensioen of de uitkering tot stand is gekomen, en - een verwijzing naar de betrokken bedrijfstak. ► nationaliteit en geboorteplaats van de betrokkene; ► gegevens (inclusief gegevens die betrekking hebben op andere begunstigden dan de betrokkene) voor de vaststelling van de hoogte van de aanspraak van de betrokkene; ► gegevens voor het berekenen, vastleggen en innen van premies; ► gegevens voor het berekenen, vastleggen en betalen van het pensioen of de uitkering aan of ten behoeve van de betrokkene; ► andere dan de hierboven opgesomde gegevens als die verwerkt moeten worden op grond van een andere wet.
16 april 2014
Pagina 36
3. Toegestane (categorieën) ontvangers van de gegevens De persoonsgegevens mogen alleen worden verstrekt aan: degenen, inclusief derden, die: - belast zijn met de hierboven onder 1. opgesomde werkzaamheden, of - leiding geven aan de hierboven onder 1. opgesomde werkzaamheden, of - noodzakelijk zijn betrokken bij de hierboven onder 1. opgesomde werkzaamheden. anderen, indien: - de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking, of - de gegevensverwerking noodzakelijk is voor de nakoming van een wettelijke plicht door de verantwoordelijke, of - de gegevensverwerking noodzakelijk is vanwege een vitaal belang van de betrokkene (bijvoorbeeld een dringende medische noodzaak), of - de gegevens verder worden verwerkt voor historische, statistische of wetenschappelijke doeleinden. Voorwaarde hierbij is dat de verantwoordelijke ervoor zorgt dat de gegevens ook alleen voor deze specifieke doeleinden verder worden verwerkt. een vereniging van oud-personeelsleden voor het overleg en de organisatie van een medezeggenschapsorgaan van gepensioneerden bij pensioenregelingen. In dit geval mogen de gegevens alleen worden verstrekt: - voor zover het gaat om de bij het eerste punt hierboven onder 2. bedoelde gegevens, en - nadat het voornemen om de gegevens te verstrekken is medegedeeld aan de betrokkene of diens wettelijke vertegenwoordiger en deze gedurende een redelijke termijn de gelegenheid heeft gehad om zijn recht op verzet (als bedoeld in artikel 40 Wbp) uit te oefenen. 16 april 2014
Pagina 37
4. Toegestane bewaartermijn De persoonsgegevens moeten worden verwijderd uiterlijk twee jaar nadat de aanspraken van de betrokkene zijn beëindigd. Langer bewaren van de gegevens is alleen toegestaan als de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
16 april 2014
Pagina 38
