INHOUDSOPGAVE
Algemeen
Waarom bewaartermijnen?
Een belangrijk onderdeel van de AVG is het basisprincipe dat je gegevens over personen alleen verwerkt indien het in overeenstemming is met het (overeengekomen of gecommuniceerde) doel. Tevens is het de bedoeling dat je de gegevens ook niet langer bewaart dan noodzakelijk voor datzelfde doel.
In de Xpert Suite kunnen bewaartermijnen ingericht worden, zodat er voor de eigen dienstverlening in detail en geautomatiseerd een proces loopt voor opschoning van dossiers.
Bewaartermijnen worden gebruikt, zodat de richtlijnen van de Autoriteit Persoonsgegevens (AP) aangehouden kunnen worden voor het bewaren van dossiers en dossierinhoud.
Vanuit de Xpert Suite zullen hier geen standaard-termijnen op worden ingesteld. Wel zal de Xpert Suite bij onwaarschijnlijk lange of korte periodes een waarschuwing tonen. Redenen om niet een vaste periode in te stellen:
- De verantwoordelijke bepaalt wijze van verwerking en periode van bewaring volgens de AVG. De Verwerker (dat is Otherside at Work) ondersteunt hier alleen in. Als we vaste periodes zouden hanteren, dan nemen we een deel van de verantwoordelijkheid van de verwerking over, en dat is niet gewenst voor een heldere rolverdeling.
- De bewaartermijnen zijn erg dynamisch en afhankelijk van de situatie van een gebruiker.
- Ook het onterecht verwijderen van gegevens is een schending van iemands privacy, omdat personen ook recht hebben op een juiste verwerking van zijn of haar gegevens. Bij een verwijdering kan door het onterecht ontbreken van informatie een verkeerd advies of besluit worden genomen.
Een belangrijke opmerking bij het opschonen is nog de volgende:
- In het kader van de bescherming van data worden er meerdere back-ups gemaakt van een Xpert Suite-database (er is 1 database per klant van Otherside at Work);
- Hou er rekening mee dat gegevens echt verwijderd worden van de database. Wees dus oplettend met het instellen van bewaartermijnen en het accorderen van de te verwijderen gegevens;
- Het terughalen van bestanden uit een back-up is een tijdrovende en kostbare zaak. Ga dan ook bewust om met het verwijderen van gegevens bij gebruik van deze bewaartermijnen module.
Otherside at Work heeft beoordeeld dat deze termijn een goede afweging is tussen de privacy-rechten van een persoon en de informatiebeveiligingsregels (en ook het privacyrecht op juistheid) om datacorruptie tegen te gaan. De AVG en de AP hebben hier helaas nog geen duidelijke richtlijnen over vrijgegeven. Op basis van jurisprudentie en vrijgegeven richtlijnen zal Otherside at Work wellicht de backup-periode in de toekomst aanpassen. Maar hier wordt je vooraf van op de hoogte gesteld.
Samenvatting
Bewaartermijnen kunnen in de basis op 3 niveaus worden ingesteld:
- Een medewerker is uit dienst en de bewaartermijn van de afgesloten trajecten is verstreken. De NAW gegevens kunnen opgeschoond worden. Oftewel, de medewerker wordt geanonimiseerd.
- AP richtlijn hiervoor is 24 maanden.
- AP richtlijn hiervoor is 24 maanden.
- Een medewerker is in dienst, maar de bewaartermijn van de trajecten is verstreken. De documenten binnen dit traject kunnen in 2 categorieën opgeschoond worden en kennen beiden een andere bewaartermijn: medische documenten en niet medische documenten.
De niet-medische documenten kunnen, mits ingesteld, na het verstrijken van de ingestelde termijn verplaatst worden naar het medisch dossier. Zo zijn deze documenten nog wel inzichtelijk voor gebruikers met medische rechten, maar niet meer voor gebruikers zonder medische rechten.
De wettelijke termijn voor medische documenten is sinds januari 2020 verhoogd van 15 jaar naar 20 jaar. Voor niet-medische documenten raadt OSAW een bewaartermijn van 5 jaar aan. - Er zijn uitzonderingen mogelijk, die ingesteld kunnen worden door een traject een specifiek kenmerk mee te geven. Voorbeelden van bestaande kenmerken zijn: Gevaarlijke stoffen, Lopende rechtszaak en Uitgesloten van opschoning.
Lees in deze instructie meer over Trajectkenmerken.- Bij bijvoorbeeld een lopend arbeidsconflict of geschil wordt de bewaartermijn verlengd tot het einde van de beroepstermijn. Dit betekent dat 3 maanden na de uitspraak van het beroep, oftewel 3 maanden na de uitspraak van de rechtszaak, de bewaartermijn eindigt.
- Alleen gebruikers met specifiek toegekende autorisaties kunnen deze trajectenkenmerken toekennen.
Wil je gebruik maken van onderstaande functionaliteit? Neem dan contact op met jouw Otherside at Work Customer Succes Manager. Vanwege de impact van het opschonen van data, wordt deze functionaliteit initieel beschikbaar gesteld op een acceptatie-omgeving. Indien je daar de resultaten hebt gecontroleerd, kan deze mogelijkheid tevens direct op productie ingeschakeld worden.
Instellen Bewaartermijnen
Voorafgaand onderstaand stappenplan moet eerst de module Bewaartermijnen actief worden in de Xpert Suite omgeving. Neem voor meer informatie hierover contact op met de Customer Succes Manager of met de Xpert Desk.
Stap 1. Instellingenscherm (TAB: algemeen)
Bewaartermijnen instellen kun je vinden in het beheer onder Dienstverlening -> Dienstverlening -> Bewaartermijnen. Voor bewaartermijnen geldt dat deze met het volgende scherm zijn in te stellen:
Om de instellingen te begrijpen zijn een paar zaken over de werking van de opschoning van belang:
- Er zijn in de basis 2 opschoningsniveaus:
- Van een werknemersdossier die uit dienst is én waarvan alle bewaartermijnen verlopen zijn worden de NAW-gegevens verwijderd.
Dit zorgt ervoor dat statistieken en rapportages nog gewoon kunnen worden gemaakt, maar dat alleen niet meer bekend is welke natuurlijke personen de cijfers over gaan. - Van een specifiek traject waarvoor de bewaartermijn is verlopen, wordt de inhoud opgeschoond
- Van een werknemersdossier die uit dienst is én waarvan alle bewaartermijnen verlopen zijn worden de NAW-gegevens verwijderd.
- Binnen deze opschoning zijn er 2 dossierniveaus: medisch en niet-medisch. Deze kennen aparte bewaartermijnen, maar in veel gevallen is het zo dat het niet-medische dossier ook relevante gegevens bevat voor het medisch dossier.
Hiermee kunnen de volgende zaken worden ingesteld:
1a) Uit-dienstdossiers:
Een algemene uiterste bewaartermijn van NAW-gegevens voor medewerkers. De termijn die je opgeeft is tot welk aantal maanden na uitdiensttreding je de NAW-gegevens van een dossier in ieder geval wilt bewaren. Opschoning vindt ook na verlopen van die termijn wel pas plaats als ook het laatste aanwezige traject een verlopen bewaartermijn heeft. Zo lang een traject nog een actieve bewaartermijn kent, zullen de NAW-gegevens blijven staan. Denk hier bijvoorbeeld aan het instellen van een termijn van 24 maanden na uitdiensttreding (cf richtlijnen AP), maar indien er een WGA traject loopt, dan wordt gedurende het lopen van dat traject niks gedaan met de NAW-gegevens.
1b) Actieve dossiers
- Een algemene bewaartermijn voor medische en niet-medische dossiergegevens (spreekuur documenten, documenten vanuit taken, uploaddocumenten, notities, etc.).
- Hierbij kan tevens worden aangegeven of voor documenten moet gelden dat die bij het verlopen van de niet-medische bewaartermijn (maar het nog actief zijn van de bewaartermijn van medische dossiers) moeten worden overgezet naar het medische dossier. Gebruikers met toegang tot dit medische dossier kunnen dan de gegevens blijven raadplegen, terwijl niet-medische gebruikers een ‘leeg’ dossier aantreffen.
Stap 2. Instellingenscherm (TAB uitzonderingen)
Via de tab ‘Uitzonderingen’ kan er op specifieke protocolvariaties een uitzondering op de algemene bewaartermijnen worden ingesteld.
Hiermee kan dus netjes per soort dienstverlening (en daarmee soort verzamelde gegevens) worden vastgelegd hoe lang dit bewaard mag worden.
Stap 3. Bewaartermijnen op trajectkenmerken
Het is via de tab ‘Algemeen’ ook mogelijk om afwijkende bewaartermijnen voor bijzondere trajecten vast te leggen. Bijvoorbeeld wanneer een medewerker in aanraking is gekomen met ‘gevaarlijke stoffen’ of wanneer er een rechtszaak loopt. Een geautoriseerde gebruiker kan een kenmerk ‘gevaarlijke stoffen’ koppelen aan het traject, waarbij de algemene bewaartermijn wordt overruled door de bewaartermijn op het trajectkenmerk.
Op dit moment zijn er drie standaard trajectkenmerken voor gedefinieerd waaraan een bewaartermijn gekoppeld kan worden (zie ook instructie Trajectkenmerken):
- Lopende rechtszaak
- Gevaarlijke stoffen
- Uitgesloten van opschoning
Met deze instelmogelijkheden is het volledig mogelijk om met zekerheid te voldoen aan de eisen die de AVG stelt aan een privacy-bestendige verzameling van persoonsgegevens. Je kunt in detail vastleggen hoe lang welk gegeven moet worden bewaard en welke uitzonderingen mogen worden toegepast. En ook bij deze uitzonderingen wordt netjes een nieuwe uiterste bewaartermijn bewaakt. Hiermee zijn risico’s op het gebied van bewaartermijnen goed onder controle.
LET OP:
- Bij het inrichten is het van belang om een default waarde (aantal maanden) in te stellen voor het kenmerk ‘Uitgesloten van opschoning’;
- Trajectkenmerken kunnen enkel aan een traject gekoppeld worden door geautoriseerde gebruikers (zie instructie Trajectkenmerken);
- Ook bij deze afwijkende termijnen geldt: de termijn wordt geteld na afronding van het traject.
DE BEHEERDER
- Autoriseert betreffende gebruikers die trajectkenmerken met een bewaartermijn mogen koppelen aan een traject.
- Kiest voor: ‘Gebruik trajectkenmerken om bijzondere bewaartermijnen in te richten die de standaard termijn opschort’
- Klikt op ‘Trajectkenmerk toevoegen’.
- Stelt een bewaartermijn in voor zowel ‘niet-medische’ als ‘medische’ dossieronderdelen van een traject met dit kenmerk.
LET OP: bepaal zorgvuldig welke gebruikers deze beheerrechten moeten krijgen. Het kan immers zo zijn dat door het verwijderen van een kenmerk de bewaartermijn ineens veel korter wordt en bij de volgende ronden een dossier geschoond zal worden.
Het instellen van deze autorisatie kan op rol-niveau, gebruikersgroep niveau of per individuele gebruiker (dit laatste is in verband met beheerbaarheid niet aan te raden). Zzie instructie Trajectkenmerken.
Instellingen
Wanneer er vastgelegde afwijkende termijnen zijn, dan kunnen deze aangepast of verwijderd worden.
Let op: Hierbij geldt wel dat dit direct effect kan hebben op de eerstvolgende opschoningsronde. Wanneer de lange bewaartermijn van ‘Gevaarlijke stoffen’ wordt verwijderd, dan zal de volgende maand-opschoning voor alle trajecten met dat kenmerk, niet meer de langere periode gelden, en de standaard ingestelde periode weer worden gehanteerd. Het kan dan zijn dat de bewaartermijn ‘al lang’ verlopen is en er dus direct opgeschoond wordt.
DE GEBRUIKER
Alleen gebruikers met de autorisatie voor het beheren van trajectkenmerken hebben deze mogelijkheid (en kunnen inzien welke kenmerken er zijn ingesteld).
- Het vastleggen van afwijkende bewaartermijnen kan door op het scherm voor bewaartermijnen onderaan het vinkje ‘gebruik trajectkenmerken om bijzondere bewaartermijnen in te richten’ aan te zetten.
- Selecteert betreffende kenmerk(en).
Zie de instructie Trajectkenmerken voor het toewijzen van kenmerken aan een traject.
Stap 4. Bewaartermijnen automatische opschoning
Het is voor geautoriseerde beheerders mogelijk om bewaartermijnen in te stellen. Met deze instellingen kan worden ingericht hoe lang data in de Xpert Suite wordt bewaard (met mogelijk afwijkende periodes op basis van specifieke protocollen of trajectkenmerken). Daarnaast bestaat de mogelijkheid om grote hoeveelheden trajecten en werknemers daadwerkelijk op te schonen. Data-opschoning wordt uitgevoerd op twee niveaus:
- Werknemer data
- Trajectdata
Het opschonen kan worden gedaan door naar de twee nieuwe tabs op het scherm met de bewaartermijnen te gaan.
Vanwege de gevoeligheid en de impact van data-opschoning, is er per niveau een controle tabblad toegevoegd waarop een overzicht van de te schonen data wordt getoond.
Het accorderen van werknemer opschoning refereert naar de ingestelde bewaartermijn voor uit-dienstdossiers.
Op dit scherm worden alle dossiers getoond waarvoor de ingestelde uit-dienst termijn is verlopen én waarvoor er geen trajecten meer aanwezig zijn waar de bewaartermijn nog niet van verlopen is.
Accorderen van traject opschoning refereert naar de ingestelde bewaartermijn voor dossierinhoud.
Hier worden alle trajecten getoond waarvoor de ingestelde bewaartermijn is verlopen.
Voor beide schermen geldt dat er per keer maximaal 10.000 items goedgekeurd kunnen worden. Met behulp van de zoekfunctie kunnen specifieke werknemers en trajecten opgezocht worden in deze grote lijst. Mocht een persoon of traject onterecht op de lijst staan, dan kan de beheerder een aantal acties uitvoeren:
- De ingestelde bewaartermijnen op de andere tabs aanpassen. Wanneer daarna de tab ‘accorderen …’ opnieuw geopend wordt, wordt opnieuw bepaald welke dossiers moeten worden geschoond op basis van deze nieuwe instellingen.
- Aan het specifieke traject kan een kenmerk toegevoegd worden (met een langere/afwijkende bewaartermijn).
- Het specifieke traject kan ‘heropend’ worden (alle bewaartermijnen rekenen vanaf ‘afronding’ van een dossier).
- De einddatum van het laatste dienstverband van de werknemer kan aangepast worden.
Indien na de correcties de tab opnieuw geladen wordt, dan wordt de nieuwe te accorderen lijst bepaalt.
Staan er alleen nog trajecten of werknemers op de lijst die inderdaad opgeschoond mogen worden, dan dient de beheerder op ‘accorderen’ te klikken. De ingestelde trajecten worden dan voor de komende nacht gemarkeerd als ‘akkoord voor opschonen’. Op dat moment zal wel opnieuw worden bepaald of het traject echt opgeschoond mag worden (door een alsnog toegevoegd kenmerk bijvoorbeeld). Is dat dan toch niet het geval, dan zal dat specifieke traject of dossier overgeslagen worden en de inhoud bewaard blijven.
Het is mogelijk om direct na elkaar meerdere groepen (van maximaal 10.000 items) ‘te accorderen’. De geaccordeerde trajecten en dossier worden direct uit de lijst ‘te accorderen’ gehaald. Hierdoor kunnen de volgende 10.000 trajecten of werknemers beoordeeld worden door de programmatuur.
Zoals eerder gemeld, zullen geschoonde trajecten nog maximaal 12 maanden in de back-ups van de Xpert Suite voor komen (door de dag-week-maand back-up-cyclus). Niettemin zitten hier ‘gaten’ in waardoor verwijdering van trajecten van meer dan een week geleden, geen garantie is dat álle informatie van dat traject in de back-up aanwezig is (er zijn immers geen back-ups van precies 1,5 week geleden).
Bij het in gebruik nemen van deze opschoningsmogelijkheden is ons advies om:
- Eerst op een test- of acceptatie-omgeving de opschoning uit te voeren met de ingevoerde bewaartermijn-instellingen;
- De bewaartermijnen geleidelijk in te voeren. Door op bepaalde onderwerpen in eerste instantie een erg lange termijn te zetten, kan goed de andere bewaartermijn getest worden.
Archivarisrapportage (Archiefwet export)
Voor bepaalde overheidsinstanties is het nodig om een export op te slaan van daadwerkelijk opgeschoonde regels om te voldoen aan de Archiefwet.
In XS is er de mogelijkheid voor overheidsinstanties om de geaccordeerde lijst van geschoonde regels geanonimiseerd te downloaden.
In Beheer > Dienstverlening > Bewaartermijnen klik je ‘Accorderen’ en krijg je onderstaand scherm te zien:
Vervolgens is het bestand te downloaden middels de knop ‘Geaccordeerde lijst downloaden’. Als je als gebruiker hebt gecontroleerd of het bestand ook daadwerkelijk is opgeslagen op je computer, vink je aan dat je dit hebt gedaan en wordt vervolgens de knop ‘definitief verwijderen’ beschikbaar.
Belangrijk om te vermelden is nog dat deze functionaliteit alleen voor overheidsinstanties toegestaan is. Andere bedrijven voldoen niet aan de AVG wanneer van deze mogelijkheid gebruik wordt gemaakt. De gegevens zijn wel geanonimiseerd, maar nog steeds herleidbaar.
Op verzoek kan deze functie ingeschakeld worden bij overheidsinstanties door de Xpert Desk (plugin: RetentionPeriods.RetentionArchiveLaw)
RAPPORTAGES
Na het configureren van de bewaartermijn kan met behulp van een standaard rapportage inzichtelijk worden gemaakt welke batches er klaar staan om opgeschoond te kunnen worden.
De rapportage heet: 'Schoning_Nav_Bewaartermijnen'.
De rapportage geeft aan om welke batch het gaat (batchid), of er akkoord is gegeven en op welke datum (datum akkoord & datum opgeschoond) en de details van de opschoning kunnen inzichtelijk worden gemaakt (geanonimiseerd).
De details worden inzichtelijk gemaakt door op het getal onder 'Aantal items' te klikken. Het is handig om dit overzicht te openen in Excel, zo kan je op trajectID zoeken om te controleren of een traject geschoond is.
Bij een werknemerschoning wordt vanwege de anonimiteit alleen een werknemerID getoond. Met behulp van Otherside kan eventueel worden uitgezocht welke werknemer dit betreft, als er een vraag is over de werknemer schoning.
De rapportage kan alleen worden benaderd als er een kubus beschikbaar is voor de omgeving waarop de bewaartermijnen staan ingesteld en is alleen te benaderen als de gebruiker superbeheerder rechten heeft of autorisatie “Mag beheerder rapporten zien zonder werknemerautorisatie”. De rapportage is vindbaar onder de map 'Logging rapportages.
Zie hieronder het voorbeeld.