Zoals je weet is de Algemene verordening gegevensbescherming (AVG) sinds 2018 van kracht. De regels voor het bewaren van persoonsgegevens zijn onder de AVG eigenlijk hetzelfde gebleven. Het uitgangspunt is nog steeds dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van je verwerking.
Er staan in de AVG verder geen concrete bewaartermijnen voor persoonsgegevens. Het is dus niet mogelijk om te stellen dat je bepaalde persoonsgegevens ten minste 1 jaar moet of maximaal 7 jaar mag bewaren. Je zult als organisatie aldus zelf moeten bepalen hoe lang je de persoonsgegevens nodig zult hebben en bewaren. Om dat te bepalen zul je als organisatie wel moeten kijken naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
Maar let wel op: wanneer er een andere (wel exacte) bewaartermijnen ergens anders in de wet zijn opgenomen, dan geldt dat je de persoonsgegevens enkel mag bewaren zolang in die wet staat beschreven. Zo geldt voor ondernemingen bijvoorbeeld dat zij verplicht zijn om de administratie 7 jaar te bewaren (fiscale bewaarplicht) maar ook voor het personeelsdossier en bijvoorbeeld sollicitatiegegevens bestaan wettelijke bewaartermijnen. Wanneer er echter wettelijk niets is geregeld geldt de AVG en mag je de persoonsgegevens nooit langer bewaren dan voor het doel van je verwerking.
Hoelang je de persoonsgegevens mag bewaren voor je bedrijf, verschilt dus steeds per geval. Om aan de AVG te voldoen (en dus ook om boetes van de Autoriteit Persoonsgegevens te voorkomen!) zul je in elk geval moeten overgaan tot het volgende:
- Je zult per persoonsgegeven moeten bepalen hoe lang je deze bewaart of in elk geval de criteria voor het vaststellen van deze bewaartermijn. Dit dient allemaal vastgelegd te worden in documentatie /bewaarbeleid.
- Je zult de bewaartermijnen ook op moeten nemen in je verwerkingsregister.
- Je zult de betrokkenen (de mensen van wie je gegevens verwerkt) over de bewaartermijnen moeten informeren via een privacyverklaring of in een personeelsreglement.
Tip: Wanneer je twijfelt hoelang je bepaalde persoonsgegevens mag bewaren, raden wij je aan een privacy expert of jurist (bijvoorbeeld mij 😉 in te schakelen die je hierin kan adviseren. Wanneer je zeker weet dat er geen wettelijke bewaartermijnen bestaan, kun je de bewaartermijnen volgen die in het Vrijstellingsbesluit Wbp staan. De Autoriteit Persoonsgegevens (AP) beveelt deze immers zelf ook aan. Je zit alsdan altijd “veilig” met jouw bewaartermijn.