Als persoonsgegevens niet meer nodig zijn, of als ze het doel waarvoor ze werden opgeslagen, hebben vervuld, moeten ze volgens § 35 van de Bundesdatenschutzgesetz worden gewist. Indien een klantenrelatie of een contractuele relatie eindigt, moeten de gegevens worden vernietigd. Uit de TÜV Süd-gegevensbeschermingsindicator blijkt dat ongeveer de helft van de respondenten geen strikte regeling heeft om dergelijke informatie te wissen of af te schermen.
Volgens de TÜV-Süd Data Protection Indicator (DSI) heeft ongeveer 50 procent van de respondenten geen strikte instructies om persoonsgegevens te wissen zodra deze niet meer nodig zijn of aan het doel ervan is voldaan. Volgens artikel 35 van de federale wet inzake gegevensbescherming mag persoonlijke informatie echter niet langer worden gebruikt of opgeslagen wanneer de zakelijke relatie is beëindigd.
Persoonsgegevens moeten worden afgeschermd als er sprake is van wettelijke, statutaire of contractuele bewaartermijnen. Persoonsgegevens moeten echter uiterlijk na het verstrijken van deze of andere wettelijke termijnen worden gewist. “Om te voldoen aan de federale wet op de gegevensbescherming moeten bedrijven duidelijk definiëren hoe ze omgaan met opgeslagen persoonsgegevens wanneer deze niet langer nodig zijn”, legt Rainer Seidlitz van TÜV Süd Sec-IT GmbH uit. “Bovendien moet het gegevensbestand voortdurend worden gecontroleerd op oude persoonsgegevens en moeten de nodige verwijderingen of blokkades worden ingesteld.”
Het is belangrijk dat persoonsgegevens niet kunnen worden gelezen of gekopieerd, zelfs niet nadat ze zijn verwijderd. Indien onbevoegden zich toegang verschaffen tot gegevensdragers die niet zijn gewist of vernietigd, kunnen zware boetes worden opgelegd en kunnen de betrokkenen schadevergoeding eisen. Indien een onderneming gegevensdragers weggooit, moet de daarop opgeslagen informatie vooraf zorgvuldig worden gewist. 39 procent van de respondenten heeft echter geen instructies voor werknemers over hoe zij oude apparaten of gegevensdragers moeten vernietigen in overeenstemming met de voorschriften inzake gegevensbescherming. Bij persoonsgegevens op papier, zoals in dossiers of brieven, daarentegen besteedt 84 procent van de ondervraagden al aandacht aan een gegevensbeschermingsconforme verwijdering.
Over de TÜV Süd DSI
In juli 2014 presenteerde TÜV Süd Sec-IT GmbH, ondersteund door LMU München, de TÜV Süd Data Protection Indicator. Bedrijven die zelf willen nagaan hoe goed zij er voor staan op het gebied van gegevensbescherming en waar er ruimte is voor verbetering, kunnen hier deelnemen aan de TÜV-Süd-DSI. De huidige trendvraag “Besteedt u aandacht aan de gegevensbeschermingsovereenkomsten van de aanbieder wanneer u pc-software, smartphone-apps of onlinediensten gebruikt?” kan los van de zelfevaluatie worden beantwoord.