Bewaartermijnen onder de AVG, hoe lang mag u persoonsgegevens bewaren?

 In AVG

Als ik een privacy impact assessment (PIA) uitvoer bij een klant dan komen de bewaartermijnen onder de AVG altijd aan de orde. Het is bovendien verplicht in het kader van de informatievoorziening dat u uw klanten en medewerkers informeert over hoe lang u de persoonsgegevens de u verwerkt, bewaart. Als u geen harde bewaartermijn kunt geven, dan moet u in uw privacy statement vertellen hoe u de termijnen bepaalt. Welke bewaartermijnen er zijn en hoe u bepaalt hoe lang u de persoonsgegevens mag bewaren, leest u in dit blog.

Bewaren onder de Wet bescherming persoonsgegevens (Wbp)

Onder de Wbp was het Vrijstellingsbesluit Wet bescherming persoonsgegevens (VWbp) van toepassing. In de VWbp stond voor een heel aantal verwerkingen (toen nog bewerkingen genoemd) aangegeven hoe lang de persoonsgegevens mochten worden bewaard. Dat was handig, want zo wist u precies welke termijnen u kon aanhouden. Een ander aspect was uiteraard hoe u dit intern kon borgen.

Bewaren onder de AVG

De VWbp is met de komst van de AVG vervallen. De AVG bevat geen harde bewaartermijnen. Een organisatie moet zelf bepalen hoe lang ze persoonsgegevens bewaart. De afweging die gemaakt moet worden, is hoe lang de persoonsgegevens nodig zijn voor het doel waarvoor ze worden verzameld. Zijn ze niet meer nodig? Dan moet u de gegevens vernietigen, behalve als het om persoonsgegevens gaat die voor historische, statistische wetenschappelijke doelen werden gebruikt. Dan mag u de persoonsgegevens archiveren. Onder de AVG heeft u de verplichting om de pati├źnten/klanten/werknemers etc. van wie u persoonsgegevens verwerkt te informeren over onder meer hoe lang u de persoonsgegevens bewaard. U moet intern een verwerkingsregister bijhouden. In dit register neemt u ook op hoe lang u welke categorie├źn van persoonsgegevens (bijvoorbeeld contactgegevens, NAW-gegevens) mag bewaren. Dat is een handige stok achter de deur, zo heeft u intern een overzicht. De VWbp is niet geheel nutteloos geworden. U kunt de termijnen nog steeds als leidraad gebruiken en op basis van die leidraad bepalen of voor uw organisatie een afwijkende termijn moet gelden. Leg die afwegingen intern vast in het kader van uw documentatieplicht.

Bewaren onder andere wetgeving

Uiteraard is er ook andere wetgeving waarin bewaartermijnen zijn opgenomen. Deze bewaartermijnen gelden uiteraard ook nog onder de AVG. U mag de afweging uit de AVG dus alleen maken als geen wettelijke bewaartermijn geldt. Denkt u daarbij aan de Algemene wet inzake rijksbelastingen die bepaalt dat salarisadministratie minimaal 7 jaar moet worden bewaard, gerekend vanaf het moment van uitdiensttreding. Of de Uitvoeringsregeling loonbelasting en de Wet op de loonbelasting, die bepalen dat een werkgever een kopie ID minimaal 5 jaar na einde dienstverband moet bewaren. Voor medische gegevens bepaalt de Wet op de geneeskundige behandelingsovereenkomst dat de bewaartermijn minimaal 15 jaar is. Zo zijn er, afhankelijk van uw positie en aard van uw bedrijf verschillende termijnen waarmee u rekening moet houden.

Concrete informatie

Wilt u weten of voor bepaalde persoonsgegevens een specifieke, in de wet bepaalde termijn geldt? Neem dan gerust contact met mij op. Ik help u ook graag bij het invullen van uw verwerkingsregister of het opstellen van uw interne privacybeleid.

Recent Posts

Leave a Comment

examen persoonsgegevens AVG