Vergroot contrast

Bewaren van persoonsgegevens

De inhoud van een digitaal of papieren dossier bevat veel informatie over een persoon. De huisarts weet bijvoorbeeld welke medicijnen zijn patiënt gebruikt. En de werkgever kan zien wanneer het salaris van een werknemer voor de laatste keer is verhoogd. Om een goede administratie bij te kunnen houden, moet een organisatie bepaalde persoonsgegevens een tijd bewaren. Maar organisaties mogen die gegevens niet langer bewaren dan noodzakelijk is.

Er is op grond van de Algemene verordening gegevensbescherming (AVG) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld op grond van belastingwetgeving.

Vernietigen of archiveren

Is de bewaartermijn van persoonsgegevens voorbij of zijn de gegevens niet meer noodzakelijk? Dan moeten organisaties de gegevens vernietigen.

Zijn persoonsgegevens bestemd voor historische, statistische of wetenschappelijke doeleinden? Dan mogen organisaties de persoonsgegevens in een archief bewaren.

Voor persoonsgegevens in een archief geldt geen bewaartermijn. Op deze regel bestaat een uitzondering: als de Archiefwet of een andere wet van toepassing is, geldt wel een bewaartermijn. De organisatie moet de gegevens vernietigen als ze niet meer nodig zijn voor het doel van het archief.

Nieuws

Alle nieuwsberichten over het onderwerp 'Bewaren van persoonsgegevens'

Alle antwoorden op mijn vragenAlgemene vragen over het bewaren van persoonsgegevens

  • Hoe bepaal ik de bewaartermijn van persoonsgegevens?

    De Algemene verordening gegevensbescherming (AVG) schrijft geen concrete bewaartermijnen voor. Het uitgangspunt is dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk. Wat noodzakelijk is hangt af van de situatie. Vandaar dat u zelf moet vaststellen wat in uw situatie passend is.

    Er is helaas geen formule voor het vaststellen van bewaartermijnen. Wel kan het antwoord op de volgende vragen u helpen:

    • Zijn er wettelijke termijnen waar u zich aan moet houden? Bijvoorbeeld op grond van belastingwetgeving of de Archiefwet. En als er nog een juridische procedure loopt moet u de persoonsgegevens ook bewaren.
    • Hoe lang heeft u de gegevens nodig voor het doel waarvoor u ze verwerkt? Kijk hierbij ook naar uw bedrijfsbeleid. Zo kunt u bepaalde gegevens bijvoorbeeld nog nodig hebben voor de controle op openstaande facturen.
    • Het uitgangspunt van de wet is dat u persoonsgegevens zo kort mogelijk bewaart. Kunt u de termijn nog aanscherpen?

    Tip: bent u aangesloten bij een branchevereniging? Dan heeft deze wellicht meer informatie over welke bewaartermijnen gebruikelijk zijn in uw sector. Dit staat dan bijvoorbeeld in een gedragscode.

    Klachten over bewaartermijnen

    Mensen kunnen een klacht indienen bij de Autoriteit Persoonsgegevens (AP) wanneer zij vinden dat u hun persoonsgegevens onnodig lang bewaart.

    Privacybeleid

    Leg de bewaartermijnen en de onderbouwing daarom vast. Bijvoorbeeld in uw privacybeleid. Dan kunt u zich verantwoorden wanneer de AP daar om vraagt.

    De AP beoordeelt onder andere of uw onderbouwing redelijk is. En of u de bewaartermijn inderdaad zo kort mogelijk houdt gelet op het doel van de verwerking.

    Periodieke controle

    Controleer periodiek de persoonsgegevens die u verwerkt. Wis of anonimiseer die persoonsgegevens waarvan de bewaartermijn is verstreken. Of eerder als u ze niet meer nodig heeft.

    Meer info? Zie dossier ‘bewaren persoonsgegevens’

  • Hoe moet een organisatie mijn gegevens vernietigen?

    Een organisatie moet uw gegevens vernietigen als de bewaartermijn voorbij is of uw gegevens niet meer noodzakelijk zijn. Daarbij moet de organisatie zorgvuldig omgaan met uw persoonsgegevens.

    Dat betekent dat de organisatie goed moet stilstaan bij de manier waarop deze uw gegevens vernietigt. Zeker als het om gevoelige gegevens gaat, zoals medische gegevens.

    Voor digitaal opgeslagen gegevens zijn bijvoorbeeld systemen ontwikkeld die automatisch gegevens vernietigen op een van tevoren aangegeven tijdstip.

    Dossier digitaliseren

    Wil een organisatie uw papieren dossier digitaal maken? Dan mag de organisatie uw originele papieren dossier pas vernietigen als de organisatie zorgt voor een goede beveiliging van het digitale dossier.

  • Kan ik mijn persoonsgegevens laten verwijderen?

    U heeft het recht om een organisatie te vragen bepaalde persoonsgegevens van u te verwijderen. Dat kunt u vragen als deze gegevens niet kloppen, niet compleet zijn of niet (meer) ter zake doen.

  • Wat kan ik doen als ik een vraag of klacht heb over hoe lang een organisatie mijn persoonsgegevens bewaart?

    Ga met uw vragen of klachten altijd eerst naar de organisatie zelf.

    Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan kunt u een privacyklacht indienen bij de Autoriteit Persoonsgegevens.

Alle antwoorden op mijn vragenSpecifieke bewaartermijnen

  • Hoe lang mag mijn werkgever mijn gegevens bewaren?

    Voor sommige gegevens uit uw personeelsdossier geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst uw werkgever verplicht om die gegevens een bepaalde periode te bewaren.

    Voorbeelden hiervan zijn uw loonbelastingverklaring en een kopie van uw identiteitsbewijs. Deze moet uw werkgever 5 jaar bewaren nadat u uit dienst bent.

    Voor andere gegevens uit uw personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens is de richtlijn: een bewaartermijn van 2 jaar nadat u uit dienst bent.

  • Hoe lang mag een organisatie mijn sollicitatiegegevens bewaren?

    Het is gebruikelijk dat een organisatie uw sollicitatiegegevens verwijdert uiterlijk 4 weken na het einde van de sollicitatieprocedure.

    Wel kunt u toestemming geven om uw gegevens langer te bewaren. Bijvoorbeeld omdat er mogelijk op een later tijdstip een passende functie voor u komt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

  • Hoe lang mag mijn huisarts mijn medische gegevens bewaren?

    De hoofdregel is dat uw huisarts of specialist uw medisch dossier minimaal 15 jaar moet bewaren nadat uw behandeling is gestopt.

  • Hoe lang mag de school de gegevens van mijn kind bewaren?

    In het algemeen geldt dat de school een leerlingdossier 2 jaar mag bewaren nadat uw kind van school is gegaan. In sommige situaties legt de wet- en regelgeving voor het onderwijs een langere bewaartermijn op.

  • Hoe lang mogen camerabeelden bewaard worden?

    Camerabeelden van openbare plaatsen mogen maximaal 4 weken bewaard worden. Maar zijn er beelden van strafbare feiten vastgelegd? Die als bewijsmateriaal kunnen dienen in een strafprocedure? Dan kan de bewaartermijn worden verlengd.  

    Voor de overige camerabeelden, zoals uit winkels, geldt ook een bewaartermijn van 4 weken. Maar is er een incident vastgelegd, zoals een winkeldiefstal? Dan mag de winkelier de beelden bewaren tot dit incident is afgehandeld.

  • Hoe lang mag een overheidsorganisatie mijn gegevens bewaren?

    De overheid heeft zowel met de Algemene verordening gegevensbescherming (AVG) als de Archiefwet te maken. Op grond van de AVG mogen organisaties persoonsgegevens bewaren zo lang deze nodig zijn voor het doel waarvoor ze zijn verzameld of worden gebruikt. Daarna moeten organisaties de gegevens vernietigen.

    Maar op grond van de Archiefwet is de overheid verplicht bepaalde gegevens voor onbepaalde tijd in een archief te bewaren. Het doel hiervan is het Nederlandse culturele erfgoed te behouden.

    Elke overheidsorganisatie moet een selectielijst hebben. Hierop staat welke stukken de organisatie op termijn moet vernietigen en welke stukken de organisatie voor altijd moet bewaren.

    Zie voor meer informatie: