Direct starten
Home » Kennisbank » Bewaartermijnen en de AVG: wat mag wel en niet?

Bewaartermijnen en de AVG: wat mag wel en niet?

Bewaartermijnen

Een grote zorginstelling nam onlangs contact met ons op omdat ze moeite hadden met het bepalen van bewaartermijnen voor verschillende soorten gegevens. Ze vroegen zich af hoe lang ze medische dossiers, personeelsdossiers en andere administratieve gegevens mochten bewaren zonder in strijd te zijn met de AVG.

Antwoord van de AVG-expert:

We hebben deze zorginstelling geholpen door samen een bewaarbeleid op te stellen dat voldoet aan de AVG. Omdat we merken dat veel organisaties tegen dezelfde vragen aanlopen, hebben we dit artikel geschreven.

Wat zegt de AVG over bewaartermijnen?

De AVG stelt dat persoonsgegevens niet langer mogen worden bewaard dan strikt noodzakelijk is voor het doel waarvoor ze zijn verzameld. Dit betekent dat je als organisatie zorgvuldig moet afwegen hoe lang je gegevens nodig hebt en ze daarna moet verwijderen of anonimiseren.

Wettelijke bewaartermijnen

Voor sommige gegevens zijn er wettelijke termijnen waar je je aan moet houden. Enkele veelvoorkomende voorbeelden zijn:

  • Fiscale gegevens: De Belastingdienst verplicht je om administratieve gegevens zoals het grootboek, debiteuren- en crediteurenadministratie, en loonadministratie 7 jaar te bewaren.
  • Loonadministratie: Basisgegevens over salaris en arbeidsvoorwaarden moeten ook 7 jaar bewaard blijven.
  • Kopie van identiteitsbewijzen: Deze dienen 5 jaar na het einde van het dienstverband bewaard te worden​​.

Zelf vaststellen van bewaartermijnen

Niet alle gegevens vallen onder vaste wettelijke termijnen. Voor andere gegevens moet je zelf bepalen wat een passende bewaartermijn is. Hierbij kun je rekening houden met factoren zoals de gevoeligheid van de gegevens en het risico op misbruik​.

Bewaar persoonsgegevens nooit langer dan noodzakelijk, maar zorg ook voor een heldere verantwoording waarom je bepaalde gegevens langer bewaart.

Wat mag niet volgens de AVG?

Het simpelweg bewaren van persoonsgegevens “voor het geval dat” is in strijd met de AVG. Gegevens moeten altijd een doel hebben. Een veelgemaakte fout is het te lang bewaren van gegevens zonder duidelijke noodzaak. Dit kan leiden tot sancties van de Autoriteit Persoonsgegevens. Daarnaast mag je niet zomaar van de regels afwijken zonder onderbouwing, bijvoorbeeld door gegevens langer te bewaren dan wettelijk toegestaan zonder een gegronde reden​​.

Aanbevelingen van AVG-support.nl

Bij AVG-support.nl helpen we onze gebruikers om op een eenvoudige manier aan de AVG te voldoen, zonder dat dit duizenden euro’s aan juridisch advies kost. Hier zijn enkele concrete tips voor het beheer van bewaartermijnen:

1. Maak een duidelijk bewaarbeleid

Zorg dat er binnen je organisatie of vereniging een helder bewaarbeleid is. Documenteer voor elk type gegeven welke bewaartermijn van toepassing is en waarom. Dit voorkomt onduidelijkheid en fouten.

2. Automatiseer waar mogelijk

Moderne systemen bieden vaak de mogelijkheid om bewaartermijnen automatisch te beheren. Zo voorkom je dat persoonsgegevens onnodig lang bewaard blijven. Bij het gebruik van een ledenadministratiesysteem kun je bijvoorbeeld instellen dat gegevens van ex-leden na twee jaar automatisch worden verwijderd​​.

3. Archiveren of anonimiseren

Wanneer gegevens niet langer nodig zijn voor dagelijkse processen, maar wel belangrijk blijven voor historische of statistische doeleinden, kun je ervoor kiezen om ze te archiveren of te anonimiseren. Dit kan bijvoorbeeld bij oud-ledenarchieven.

Wist je dit over bewaartermijnen?

  1. De “vergeet-mij-knop”
    Wist je dat de AVG mensen het recht geeft om vergeten te worden? Als iemand daarom vraagt, moeten organisaties alle niet-noodzakelijke gegevens verwijderen. Dit betekent dat je niet zomaar álles voor altijd mag bewaren.
  2. Boetes voor het bewaren van data
    In 2020 kreeg een internationaal bedrijf een boete van meer dan 10 miljoen euro omdat ze gegevens langer bewaarden dan toegestaan. Dit onderstreept hoe belangrijk het is om bewaartermijnen strikt na te leven!
  3. Bewakingsbeelden zijn kort houdbaar
    Bewakingscamerabeelden moeten in de meeste gevallen binnen 4 weken worden gewist, tenzij er sprake is van een incident. Dan mogen de beelden langer worden bewaard voor onderzoek​.
  4. Sollicitanten kunnen langer in de administratie blijven
    Sollicitatiegegevens mogen maximaal 1 jaar na beëindiging van de sollicitatieprocedure worden bewaard, maar alleen als de sollicitant hiervoor toestemming heeft gegeven​.
  5. Sportuitslagen voor altijd openbaar?
    Wedstrijduitslagen, vooral bij topsport, mogen onbeperkt worden bewaard en gedeeld. Bij amateurwedstrijden, vooral van kinderen, is echter meer bescherming nodig​.
Maarten Roelfs

Maarten Roelfs is voorzitter van de Stichting AVG. In de rubriek Klantvragen beantwoordt hij vragen van onze klanten over privacy en de AVG.

Heb je ook een vraag over de AVG?

Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.

Probeer AVG-support.nl 30 dagen gratis

Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

Probeer 30 dagen gratis

Meer nieuws

Wat moet ik doen met een inzageverzoek?

Uit Europees onderzoek blijkt dat veel organisaties inzageverzoeken niet goed afhandelen, met risico op boetes en reputatieschade. Hoe zorg je dat jouw bedrijf of vereniging AVG-proof is? Dit artikel legt uit hoe je correct reageert en problemen voorkomt. Lees meer

Mag je camerabeelden gebruiken voor analyse of beoordeling?

Wil je camerabeelden gebruiken voor trainingen, wedstrijden of zorgopleidingen? Dat kan, maar wel volgens de AVG-regels. Van toestemming vragen tot beveiliging en documentatie: in dit artikel lees je precies wat je moet regelen om camerabeelden AVG-proof in te zetten. Zo combineer je technologie en privacy zonder risico. Lees meer

Mag ik mijn klanten e-mailen over acties en events?

Een yogastudio wil klanten zonder voorafgaande toestemming uitnodigen voor een speciaal evenement. Onze expert legt uit hoe je de uitnodiging AVG-proof maakt door binnen de regels te blijven en klanten duidelijk de keuze te bieden voor toekomstig contact. Lees meer