Organisaties moeten bewaartermijnen serieus nemen


Door: mr. Ans Duthler RFG

Organisaties moeten bewaartermijnen serieus nemen, Berlijnse toezichthouder legt Deutsche Wohnen SE  boete op van € 14.5 miljoen wegens ”datakerkhof’

‘Nederland heeft één toezichthouder die toeziet op naleving van de Avg, Duitsland telt er 17. Iedere deelstaat heeft een eigen toezichthouder, en er is één overkoepelende toezichthouder. De Berlijnse toezichthouder (Berliner Datenschutzbeauftragte)  heeft op 30 oktober 2019 een boete opgelegd van € 14.5 miljoen aan Deutsche Wohnen SE.

De toezichthouder constateerde in juni 2017 en in maart 2019  dat Deutsche Wohnen SE een archiefsysteem gebruikte voor het bewaren van de persoonlijke, vaak gevoelige, gegevens van huurders, dat niet voorzag in de mogelijkheid om gegevens te verwijderen of te vernietigen. De persoonlijke gegevens van huurders werden opgeslagen zonder te controleren of opslag toegestaan ​​of noodzakelijk was.  De Berlijnse toezichthouder vergelijkt het archief met een datakerkhof en wijst op risico’s van datalekken voor betrokkenen. Na de constatering in 2017 kreeg Deutsche Wohnen SE de dringende aanbeveling van de toezichthouder om het archiveringssysteem aan te passen. Dat dit anderhalf jaar later niet is gelukt, wordt Deutsche Wohnen SE verweten. De boete is opgelegd voor inbreuken op artikel 5 en artikel 25 lid 1 Avg.

Artikel 25 van de Avg verplicht verwerkingsverantwoordelijken aantoonbaar te voldoen aan de beginselen van privacy by design en privacy by default. Archieven, databases en andere digitale opslagmedia voor persoonsgegevens moeten technisch en organisatorisch zo zijn ontworpen dat de persoonsgegevens die daar niet meer thuishoren worden vernietigd.

Gelet op de mogelijkheid om boetes op te leggen tot maximaal 4% van de wereldjaaromzet, had de boete ook veel hoger kunnen uitvallen. Deutsche Wohnen SE is een beursgenoteerd bedrijf met een wereldwijde omzet van meer dan € 1 miljard. Interessant om te lezen is dat de toezichthouder bij het bepalen van de hoogte van de boete in negatieve zin heeft laten meewegen dat de gegevens zo lang onrechtmatig zijn verwerkt. In positieve zin heeft de toezichthouder laten meewegen dat Deutsche Wohnen SE in een zeer vroeg stadium maatregelen nam om de onrechtmatige situatie recht te zetten en formeel goed samenwerkte met de toezichthouder.

Deutsche Wohnen SE kan zich nog verweren tegen deze boete en de boete staat nog niet onherroepelijk vast.

Contact en modules

Wilt u meer weten over ‘’Bewaarplicht’’ en ‘’Privacy by design & privacy by default’’? Duthler Academy heeft interessante modules ontwikkeld over deze onderwerpen, op de website van Duthler Academy vindt u de data van de verschillende workshops.