Bewaartermijnen volgens de Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG) stelt eisen aan de bewaartermijnen van persoonsgegevens. In deze blog leggen we uit wat dit inhoudt en waarom het belangrijk is voor jouw onderneming.
 

Wat zijn bewaartermijnen?

Bewaartermijnen zijn de periodes waarbinnen je als ondernemer persoonsgegevens mag bewaren. Je mag gegevens niet langer bewaren dan noodzakelijk is voor het doel waarvoor je ze hebt verzameld.
 

Waarom zijn bewaartermijnen belangrijk?

Het is belangrijk om je aan de bewaartermijnen te houden, omdat je anders in strijd bent met de AVG. Dit kan leiden tot hoge boetes en reputatieschade voor jouw onderneming. Daarnaast kan het bewaren van persoonsgegevens voor langere tijd ook leiden tot onnodige risico's, zoals datalekken of identiteitsfraude.
 

Hoe bepaal je de bewaartermijnen?

De AVG stelt geen concrete bewaartermijnen vast voor persoonsgegevens. Het uitgangspunt is dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk. Wat noodzakelijk is, hangt af van de situatie. Het is daarom aan jou om vast te stellen wat in jouw situatie passend is.

Er is geen vaste formule om de bewaartermijn te bepalen, maar je kunt volgens de Autoriteit Persoonsgegevens het antwoord op de volgende vragen gebruiken om een goede inschatting te maken:

• Zijn er wettelijke termijnen waaraan je je moet houden op basis van bijvoorbeeld belastingwetgeving?
  Denk hierbij bijvoorbeeld aan de fiscale bewaarplicht van 7 jaar.
   
• Hoe lang heb je de gegevens nodig voor het doel waarvoor je ze verwerkt?
  Je kunt bijvoorbeeld vaak een kopie van een identiteitsbewijs direct verwijderen zodra het doel - de identificatie - is voltooid.
  Werkt jouw bedrijf met accounts, denk dan bijvoorbeeld ook aan het informeren van inactieve gebruikers en het eventueel verwijderen van deze accounts.
   
• Het uitgangspunt van de wet is dat je persoonsgegevens zo kort mogelijk bewaart. Kun je de termijn nog aanscherpen?

Het is ook toegestaan om de bewaartermijnen functioneel te formuleren. Een voorbeeld is: "Wij bewaren jouw contactgegevens voor zo lang als nodig is om onze Diensten te leveren." Er moet hierbij wel een duidelijk eindpunt zijn - een functioneel omschreven bewaartermijn is geen vrijbrief om (ongelimiteerd) te bewaren. Als het mogelijk is om de bewaartermijn verder te specificeren, dan heeft dat de voorkeur. Bijvoorbeeld: “Wij bewaren uw accountgegevens tot het einde van het contract, of totdat uw account wordt verwijderd.”

Hoe moet ik dit verder aanpakken?

Leg de bewaartermijnen die je hanteert vast in je privacy policy. Maak je je privacy policy met behulp van onze contractentool, dan worden hierin standaard functioneel geformuleerde bewaartermijnen in opgenomen.

Zorg ervoor dat je de bewaartermijnen zoals deze in de privacy policy staan daadwerkelijk naleeft: wis of anonimiseer de persoonsgegevens die je niet meer nodig hebt of waarvan de bepaalde bewaartermijn is verstreken.