Voldoen aan de AVG [12/20]: hoe lang mag je persoonsgegevens nog bewaren onder de AVG?

16 februari 2018

De nieuwe Europese privacywet roept vele vragen op. De Algemene Verordening Gegevensbescherming (AVG) stelt namelijk vele nieuwe eisen en verboden, onder meer over de opslag van persoonsgegevens. Een bijzonder aandachtspunt daarbij is de lengte van die opslag. Dit mag niet langer dan nodig, maar hoe lang is dat nu concreet?

Organisaties mogen alleen met persoonlijke informatie werken als ze daar een noodzaak voor hebben. Dat geldt tevens bij het bewaren van informatie. De vraag is dus niet, hoe lang mag ik dit bewaren, maar hoe lang heb ik deze informatie nódig. Het onderbouwde antwoord daarop geeft de bewaartermijn.

In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft. Neem bijvoorbeeld het bewaren van sollicitatiebrieven met cv’s. Dit zal nodig zijn gedurende de sollicitatieprocedure, maar hoe lang daarna ze nog nodig zijn, daar kun je over twisten. Een mogelijke insteek is ze tot 2 maanden na vervulling van de functie te bewaren, met als argument dat je dan na een mislukte proeftijd andere kandidaten nog kunt benaderen. Een andere insteek is een jaar: mensen kunnen immers later opnieuw solliciteren, en weten wat er eerder is gezegd en besloten is daarbij redelijkerwijs van belang.

Voor diverse bedrijfsinformatie gelden wettelijke bewaartermijnen. Hoofdregel hierbij is dat als een wet eist dat bepaalde gegevens worden bewaard, de AVG dit dan ook toestaat. De wettelijke bewaartermijn moet wel worden genoemd in de registratie van de verwerking.

Verder mogen natuurlijk alleen die gegevens worden bewaard waar de bewaarplicht op geldt. Een voorbeeld: een webwinkel moet haar verkoopadministratie zeven jaar lang bewaren (art. 52 Wet Rijksbelastingen). Dat geldt dus ook als er in die administratie persoonsgegevens van klanten zitten. Maar dit betekent niet dat klantprofielen van de webwinkel zeven jaar actief gehouden mogen worden, of dat e-mailadressen zeven jaar lang nog gemaild mogen worden. Die vallen immers buiten de wettelijk vereiste gegevens.

De bewaartermijn wordt inclusief motivatie opgenomen in het verwerkingsregister waar we vorige week over schreven. En natuurlijk moeten gegevens ook daadwerkelijk weggegooid worden als de bewaartermijn verstreken is.

Compliant zijn met de AVG is vooral een kwestie van documenteren. De makkelijkste manier hiervoor is de overzichtelijke tooling van Privacyblox.nl. Het systeem maakt processen van gegevensverwerking transparant. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!

Bent u alleen op zoek naar losse privacydocumenten? Bekijk dan de Privacybundel op JuriDox!

Blog / Privacy / Voldoen aan de AVG [12/20]: hoe lang mag je persoonsgegevens nog bewaren onder de AVG?