“Ik heb een vraag over het verwijderen van persoonsgegevens. Bijvoorbeeld als het gaat om sollicitatiebrieven, functioneringsgesprekken en personeelsdossiers. Hoe lang mag je deze gegevens bewaren? En hoe zit het met andere documenten, zoals oude notulen van vergaderingen of oude facturen?”
Bedankt voor je vraag, of eigenlijk vragen!
De AVG zelf zegt dat persoonsgegevens niet langer bewaard mogen worden dan nodig is voor het doel waarvoor ze verzameld zijn. Maar er kunnen wel specifieke wetten of regelingen zijn die een maximum- of minimumtermijn voorschrijven.
Los van deze specifieke wetten en regelingen moet je dus bedenken hoe lang je persoonsgegevens precies nodig hebt en dan een bewaartermijn vaststellen die redelijk is. Die termijn kan verschillen afhankelijk van wat voor persoonsgegevens het zijn en waarvoor ze gebruikt worden.
Daarom een aantal adviezen over de bewaartermijn van persoonsgegevens:
Wees duidelijk in je privacyverklaring
De AVG geeft weinig concrete informatie over bewaartermijnen. Je moet dat dus zelf bedenken en daarover duidelijk zijn in je privacyverklaring. Let op: als je erin hebt staan dat de persoonsgegevens na 5 jaar verwijderd of geanonimiseerd worden, moet je je daar ook aan houden.
Een bewaartermijn moet redelijk zijn
Ondanks dat er geen specifieke bewaartermijnen zijn voorgeschreven moet de bewaartermijn wel redelijk (en goed uitlegbaar) zijn. Een termijn van 10 jaar om zo te voorkomen dat je heel vaak gegevens moet verwijderen is niet redelijk.
Je kunt een “redelijke bewaartermijn” vaststellen op basis van verschillende factoren, zoals het doel van de verwerking, de aard van de gegevens en de vereisten van de wet- en regelgeving. Zo zijn er concrete bewaartermijnen in andere wetten waar je je aan moet houden. Bijvoorbeeld op grond van de belastingwetgeving.
Zelf de AVG regelen voor jouw organisatie?
Regel alle onderdelen van de AVG zelfstandig via onze online werkomgeving, zonder duizenden euro’s uit te geven aan juridisch advies.
Wees zorgvuldig met de vernietiging van persoonsgegevens
Als persoonsgegevens niet meer nodig zijn voor het doel waarvoor ze verzameld zijn, dan moet je ze verwijderen of vernietigen. Dat kan heel simpel door bijvoorbeeld de gegevens naar de prullenbak te slepen, of de gegevens uit je CRM-systeem te verwijderen.
Vergeet daarbij de back-up niet! En vergeet ook niet die gegevens uit mailboxen te verwijderen. Als het gaat om gegevens op papier dan kun je ze door de papierversnipperaar doen of dit uitbesteden aan een betrouwbaar vernietigingsbedrijf.
Vergeet de back-up niet!
Leg vast hoe en wanneer je gegevens vernietigt
Je moet kunnen aantonen dat je je aan de regelgeving houdt. Dat betekent dat je ten eerste vastlegt wat je bewaartermijnen zijn, en ten tweede dat je procedures implementeert om je aan die termijnen te houden. In AVG-support.nl bieden we je handvatten om dit op een structurele manier te doen.
Hieronder gaan we in op de specifieke vragen over personeelsdossiers en notulen.
Voor sommige persoonsgegevens geldt een fiscale bewaarplicht
Hoe lang mag je een personeelsdossier bewaren?
Voor de gegevens in een personeelsdossier geldt dat deze niet langer bewaard mogen worden dan noodzakelijk. In dit geval dus zolang het nodig is voor de arbeidsrelatie tussen de werkgever en werknemer. Voor veel persoonsgegevens in het personeelsdossier geldt een bewaartermijn van 2 jaar nadat de medewerker uit dienst is getreden.
Maar voor sommige persoonsgegevens geldt een fiscale bewaarplicht. Bijvoorbeeld de loonbelastingverklaring en een kopie van het identiteitsbewijs. Deze moeten 5 jaar na uitdiensttreding bewaard worden. Ook bij een (dreigende) juridische procedure mag je bepaalde persoonsgegevens langer bewaren dan 2 jaar.
Als het gaat om sollicitanten dan is het gebruikelijk dat je uiterlijk 4 weken na het einde van de sollicitatieprocedure de gegevens van de sollicitant, zoals het CV, verwijdert. Je mag het CV overigens wel maximaal een jaar bewaren als de kandidaat hiervoor toestemming geeft.
Over oude notulen en facturen
Ook oude notulen mogen niet langer worden bewaard dan nodig is. Als de notulen bijvoorbeeld betrekking hebben op een vergadering waarvan het belang al lang voorbij is, dan is er waarschijnlijk geen legitieme reden om ze nog langer te bewaren. Maar vaak is die reden er nog wel. Zo kan het bijvoorbeeld nodig zijn voor het kunnen afleggen van verantwoording aan stakeholders, voor de accountantsverklaring, voor juridische doeleinden of voor historische archivering.
Je kunt dan overwegen om de persoonsgegevens na een aantal jaren eruit te halen, dat wil zeggen de notulen te anonimiseren. Als je dit niet doet, zet dit in de privacy policy. Het informeren van de betrokkenen is een van de belangrijkste pijlers in de AVG. Je bent wettelijk verplicht om oude facturen minstens 7 jaar te bewaren. Dit is vastgelegd in de Nederlandse belastingwetgeving.
Overleg jouw specifieke vragen en behoeften met je Functionaris Gegevensbescherming, als je die hebt.
Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.