AVG: hoelang mag u persoonsgegevens bewaren?

Hoelang mag u bij een vacature de sollicitatiegegevens van kandidaten bewaren? Wat zijn de regels rond het bewaren van camerabeelden en de gegevens over het internetgebruik van uw medewerkers?

Johan Hobma
Johan Hobma

Hoelang bent u verplicht bepaalde gegevens, zoals facturen en dergelijke, minimaal op te slaan? Wat zegt de strengere Algemene verordening gegevensberscherming (AVG) erover, die per 25 mei 2018 ingaat en ook voor uw bedrijf gaat gelden?

Volgens de AVG mag u persoonsgegevens niet langer bewaren dan nodig, voor het doel waarvoor u ze heeft verzameld. Dat was ook al zo onder de Wet bescherming persoonsgegevens (WBP). Daarna moet u de persoonsgegevens daadwerkelijk vernietigen.

Wat zijn persoonsgegevens?

Het gaat in het kader van de AVG altijd over persoonsgegevens. Persoonsgegevens zijn gegevens die, alleen of in combinatie met andere gegevens, terug te herleiden zijn naar een natuurlijk persoon.

Voorbeelden van persoonsgegevens zijn onder andere naam, adres, woonplaats, kentekennummer, personeelsnummer, mailadres en videobeelden.

Concrete termijnen

In de AVG zijn echter geen concrete termijnen opgenomen voor het bewaren van persoonsgegevens. In sommige gevallen schiet andere wetgeving u te hulp, waarin specifieke bewaartermijnen zijn opgenomen.

Dit kunnen maximale bewaartermijnen zijn, daarna dient u de gegevens te vernietigen, of minimale bewaartermijnen, waarbij u zelf een passende termijn moet bepalen voor het eventueel langer bewaren. Is er geen wetgeving, dan dient u zelf beargumenteerde bewaartermijnen te bepalen.

Vereisten bewaren persoonsgegevens

U dient voor het bewaren van persoonsgegevens aan de volgende vereisten voldoen:

  • U moet vooraf vaststellen hoelang bepaalde documenten met persoonsgegevens bewaard worden.
  • De bewaartermijnen moeten openomen worden in een zogenaamd verwerkingsregister.
  • De personen van wie u gegevens verwerkt, dienen geïnformeerd te worden over deze bewaartermijnen.
  • De bepaalde bewaar- en vernietigingstermijn dienen zo mogelijk te worden vertaald naar passende technische en organisatorische maatregelen.
  • Na verstrijken van de bewaartermijn dienen de persoonsgegevens vernietigd te worden of geanonimiseerd.

Salaris, factuur en verzuim

Er zijn binnen uw organisatie diverse processen en activiteiten waarin verschillende categorieën van persoonsgegevens nodig zijn, de verwerkingsdoelen per proces verschillen en waarvoor ook andere bewaartermijnen kunnen gelden. Denk aan salarisafspraken, facturen en verzuimbeheer.

We zetten enkele processen in een tabel die meestal voorkomen in organisaties, met daarbij opgenomen wat de bewaartermijnen zijn en op welke wetgeving dit gebaseerd is.

De bewaartermijn gaat lopen na bijvoorbeeld het einde van een dienstverband, het einde van een boekjaar of het doen van een registratie.

Overigens kan het soms zo zijn dat de genoemde termijn wordt 'overruled' door een andere wettelijke bewaarplicht (meestal is dit dan fiscale wetgeving).

Processen  Maximale bewaartermijn Grondslag
Sollicitatieprocedure 4 weken Vrijstellingsbesluit WBP
Indiensttreding arbeidsovereenkomst  2 jaar Wet op de Rijksbelastingen
Verzuimbeheer 2 jaar Vrijstellingsbesluit WBP
Beveiligingscamera's 4 weken Vrijstellingsbesluit WBP
Bezoekersregistratie 6 maanden Vrijstellingsbesluit WBP
Logging internetgebruik, netwerk 6 maanden Vrijstellingsbesluit WBP
Gerechtelijke procedures  2 jaar Vrijstellingsbesluit WBP
Klantcontactmanagement n.t.b. Zelf vaststellen
     
Processen Minimale bewaartermijn Grondslag
Salarisafspraken en arbeidsvoorwaarden 7 jaar Wet op de Rijksbelastingen
Loonbelasting en identiteitsbewijzen  5 jaar Uitvoeringsregeling LB
Debiteuren- en crediteurenadministratie 7 jaar Wet op de Rijksbelastingen


Tip:
Bepaal als organisatie zelf beargumenteerde bewaartermijnen voor de processen waarin dit niet wettelijk is bepaald.

Vernietiging persoonsgegevens

Is de bewaartermijn van persoonsgegevens verstreken of zijn de gegevens niet meer noodzakelijk voor het doel? Dan moeten de gegevens vernietigd worden. Denk bijvoorbeeld aan gegevens over loonbeslag als het loonbeslag is opgeheven.

Vernietiging moet gebeuren onder controle van uw bedrijf. Vernietigen houdt in dat de gegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm. De AVG stelt geen extra vereisten aan het vernietigen van persoonsgegevens.

Tip:
Verwerkt uw accountants- en advieskantoor gegevens voor u, bijvoorbeeld de salarisadministratie? Dan is het van belang dat uw accountant en u goede afspraken maken over de bewaartermijnen van persoonsgegevens.

Nieuws
Toestemming gebruik foto werknemer
Lees meer
Blog
13 redenen om een waardebepaling uit te voeren
Lees meer
Whitepaper
Dashboard: wilt u een helder overzicht van uw data?
Lees meer
Whitepaper

AVG: acties voor ondernemers