Paragraaf 8. Beheer en beveiliging: Vrijstelling 31. (Artikel 33 Vrijstellingsbesluit)

Computersystemen

Beschrijving van de vrijstelling
Deze vrijstelling heeft betrekking op verwerkingen van persoonsgegevens die uitsluitend zijn gericht op het onderhoud, beheer, beveiliging, gebruik en de goede werking van computersystemen of computerprogramma's binnen de organisatie van de desbetreffende verantwoordelijke. Verantwoordelijken hoeven deze verwerkingen niet te melden als aan de volgende voorwaarden is voldaan.

1. Toegestane doeleinden van de verwerking
   De verwerking mag alleen geschieden voor:
   • de controle op en het beveiligen van de computersystemen of computerprogramma's;
   • het ondersteunen van de goede werking van de computersystemen of computerprogramma's;
   • het sorteren en herstellen van (tussen)bestanden;
   • het aanmaken van reservekopieën van (tussen)bestanden;
   • het beheer van de systemen of programma's.

2. Toegestane (categorieën) verwerkte gegevens
   Alleen de volgende persoonsgegevens mogen worden verwerkt:
   • gegevens die betrekking hebben op het gebruik van de programmatuur;
   • technische en besturingsgegevens;
   • gegevens ter bevordering van een goede werking;
   • historische gegevens;
   • gebruikersgegevens.

3. Toegestane (categorieën) ontvangers van de gegevens
   De persoonsgegevens mogen alleen worden verstrekt aan:
   • degenen, met inbegrip van derden, die:
     - belast zijn met het systeem-, gegevens- of applicatiebeheer, of
     - leiding geven aan het systeem-, gegevens- of applicatiebeheer, of
     - noodzakelijk zijn betrokken bij het systeem-, gegevens- of applicatiebeheer;
   • anderen, indien:
     - de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking, of
     - de gegevensverwerking noodzakelijk is voor de nakoming van een wettelijke plicht door de verantwoordelijke, of
     - de gegevensverwerking noodzakelijk is vanwege een vitaal belang van de betrokkene (bijvoorbeeld een dringende medische noodzaak), of
     - de gegevens verder worden verwerkt voor historische, statistische of wetenschappelijke doeleinden. Voorwaarde hierbij is dat de verantwoordelijke ervoor zorgt dat de gegevens ook alleen voor deze specifieke doeleinden verder worden verwerkt.

4. Toegestane bewaartermijn
   De persoonsgegevens moeten uiterlijk zes maanden nadat ze zijn verkregen, worden verwijderd. Langer bewaren van de gegevens is alleen toegestaan als de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.