De regels voor het bewaren van persoonsgegevens zijn onder de AVG nog steeds hetzelfde als daarvoor gebleven. Het uitgangspunt is nog steeds dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van je verwerking.
Dat dit bewaren in de praktijk echter nog wel eens misgaat en dat grote financiële gevolgen met zich mee kan brengen, blijkt zo ook onlangs. Zo legde de Autoriteit Persoonsgegevens (AP) in november de gemeente Voorschoten een boete op van maar het liefst 30.000 euro (!). De reden is dat de gemeente informatie over afval van individuele huishoudens veel langer bewaarde dan nodig was. En de inwoners hier bovendien niet goed over informeerde.
Er staan in de AVG verder geen concrete bewaartermijnen voor persoonsgegevens. Het is dus niet mogelijk om te stellen dat je bepaalde persoonsgegevens ten minste 1 jaar moet of maximaal 7 jaar mag bewaren. Je zult als organisatie aldus zelf moeten bepalen hoe lang je de persoonsgegevens nodig zult hebben en bewaren. Om dat te bepalen zul je als organisatie wel moeten kijken naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
Maar let wel op: wanneer er een andere (wel exacte) bewaartermijnen ergens anders in de wet zijn opgenomen, dan geldt dat je de persoonsgegevens enkel mag bewaren zolang in die wet staat beschreven. Zo geldt voor ondernemingen bijvoorbeeld dat zij verplicht zijn om de administratie 7 jaar te bewaren (fiscale bewaarplicht) maar ook voor het personeelsdossier en bijvoorbeeld sollicitatiegegevens bestaan wettelijke bewaartermijnen. Wanneer er echter wettelijk niets is geregeld geldt de AVG en mag je de persoonsgegevens nooit langer bewaren dan voor het doel van je verwerking.
Hoelang je de persoonsgegevens mag bewaren voor je bedrijf, verschilt dus steeds per geval. Om aan de AVG te voldoen (en dus ook om hoge boetes van de Autoriteit Persoonsgegevens te voorkomen!) zul je in elk geval moeten overgaan tot het volgende:
- Je zult per persoonsgegeven moeten bepalen hoe lang je deze bewaart of in elk geval de criteria voor het vaststellen van deze bewaartermijn. Dit dient allemaal vastgelegd te worden in documentatie /bewaarbeleid.
- Je zult de bewaartermijnen ook op moeten nemen in je verwerkingsregister.
- Je zult de betrokkenen (de mensen van wie je gegevens verwerkt) over de bewaartermijnen moeten informeren via een privacyverklaring of in een personeelsreglement.
Tip: Wanneer je twijfelt hoelang je bepaalde persoonsgegevens mag bewaren, raden wij je aan een privacy expert of jurist (bijvoorbeeld mij 😉 in te schakelen die je hierin kan adviseren. Wanneer je zeker weet dat er geen wettelijke bewaartermijnen bestaan, kun je de bewaartermijnen volgen die in het Vrijstellingsbesluit Wbp staan. De Autoriteit Persoonsgegevens (AP) beveelt deze immers zelf ook aan. Je zit alsdan altijd “veilig” met jouw bewaartermijn. Immers beter voorkomen dan genezen toch?