Bewaren van persoonsgegevens
Om een goede administratie te kunnen bijhouden, moeten organisaties bepaalde persoonsgegevens een tijd bewaren. Maar bewaren van persoonsgegevens mag niet langer dan noodzakelijk is. In de Algemene verordening gegevensbescherming (AVG) staat geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Wel zijn er concrete bewaartermijnen in andere wetten waaraan organisaties zich moeten houden. Bijvoorbeeld in belastingwetgeving.
Op deze pagina
Bepalen bewaartermijnen
Het uitgangspunt is dat u persoonsgegevens niet langer dan noodzakelijk mag bewaren. Wat noodzakelijk is, hangt af van de situatie. Vandaar dat u zelf moet vaststellen wat in uw situatie passend is. Er is helaas geen formule voor het vaststellen van bewaartermijnen. Wel kan het antwoord op de volgende vragen u helpen:
- Zijn er wettelijke termijnen waaraan u zich moet houden? Bijvoorbeeld op grond van belastingwetgeving of de Archiefwet? Of loopt er nog een juridische procedure? Dan moet u de persoonsgegevens ook bewaren.
- Hoe lang heeft u de gegevens nodig voor het doel waarvoor u de gegevens verwerkt? Kijk hierbij ook naar uw bedrijfsbeleid. Zo kunt u bepaalde gegevens bijvoorbeeld nog nodig hebben voor de controle op openstaande facturen.
- Het uitgangspunt van de wet is dat u persoonsgegevens zo kort mogelijk bewaart. Kunt u de bewaartermijn nog aanscherpen?
Tip: Bent u aangesloten bij een branchevereniging? Dan heeft die wellicht meer informatie over welke bewaartermijnen gebruikelijk zijn in uw sector. Dit staat dan bijvoorbeeld in een gedragscode.
Vastleggen bewaartermijnen
Leg de bewaartermijnen en uw onderbouwing vast (waarom heeft u voor een bepaalde bewaartermijn gekozen?). Bijvoorbeeld in uw privacybeleid. Dan kunt u zich verantwoorden wanneer de Autoriteit Persoonsgegevens (AP) ernaar vraagt. De AP beoordeelt onder andere of uw onderbouwing redelijk is. En of u de bewaartermijn inderdaad zo kort mogelijk houdt, gelet op het doel van de verwerking.
Vermeld de bewaartermijnen ook in uw privacyverklaring. Zo weten de mensen van wie u gegevens verwerkt hoe lang u hun gegevens bewaart. Hebben mensen het idee dat u hun gegevens te lang bewaart? Dan kunnen ze u vragen de gegevens te verwijderen. Ze hebben namelijk recht op gegevens verwijderen als u de gegevens niet meer nodig heeft. Of als de wettelijk bepaalde bewaartermijn is verlopen. Ook kunnen mensen een klacht over u indienen bij de AP als u hun gegevens niet op tijd verwijdert.
Persoonsgegevens archiveren
De overheid is verplicht om bepaalde informatie voor altijd te bewaren. Dat staat in de Archiefwet. In deze informatie staan vaak persoonsgegevens. Daarom hebben overheidsorganisaties bij archivering ook te maken met de AVG. Lees verder: Archivering door de overheid.
Persoonsgegevens vernietigen
Controleer om de zoveel tijd de persoonsgegevens die u verwerkt. Is de bewaartermijn van persoonsgegevens voorbij? Of zijn de gegevens niet meer noodzakelijk? Dan moet u de gegevens vernietigen. De gegevens anonimiseren kan ook.
Bij vernietigen moet u zorgvuldig met de persoonsgegevens omgaan. Dat betekent dat u goed moet stilstaan bij de manier waarop u de gegevens vernietigt. Zeker als het om gevoelige informatie gaat, zoals medische gegevens. Voor digitaal opgeslagen gegevens zijn bijvoorbeeld systemen ontwikkeld die automatisch gegevens vernietigen op een van tevoren aangegeven tijdstip.