De bewaartermijn van de persoonsgegevens zijn verstreken, wat moet je als bedrijf doen?

Wat zijn de vervolgstappen die je moet ondernemen?

Blog persoonsgegevens bewaren

De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat je vastlegt hoe lang persoonsgegevens binnen je organisatie worden bewaard. Er komt dus een moment, dat deze bewaartermijn is verstreken. Dan moet je wel weten wat de vervolgstappen zijn.

Bewaartermijnen bepaal je zelf

Allereerst is het belangrijk om te weten dat de AVG geen concrete bewaartermijnen voorschrijft. Als je als organisatie persoonsgegevens vastlegt op basis van een wettelijke grondslag, wordt de bewaartermijn in deze wetgeving voorgeschreven. Hier dien je uiteraard rekening mee te houden. De belastingwetgeving is hier een goed voorbeeld van.

Om persoonsgegevens te mogen bewaren, moet je al van tevoren aan de volgende eisen voldoen:

  • Je moet weten of je bepaalde persoonsgegevens mag verwerken en op basis van welke grondslag
  • Als sprake is van een wettelijke grondslag moet je de bewaartermijn uit die betreffende wet toepassen
  • In andere gevallen moeten de personen van wie je gegevens bewaart, hiervoor toestemming geven
  • Er moet vastgesteld zijn hoe lang bepaalde documenten met persoonsgegevens bewaard gaan worden
  • De bewaartermijnen moeten opgenomen zijn in een verwerkingsregister
  • Voor het bewaren van persoonsgegevens moeten passende technische en organisatorische maatregelen zijn getroffen
  • Na het verstrijken van de bewaartermijnen moeten de persoonsgegevens daadwerkelijk vernietigd of geanonimiseerd te worden

Het is belangrijk om te weten dat niet alleen de Autoriteit Persoonsgegevens controle kan uitoefenen op de vastgestelde procedures met betrekking tot het bewaren van persoonsgegevens, maar ook dat derden inzage kunnen vragen in hoe hun persoonsgegevens binnen jouw onderneming worden bewaart. Het is dus erg belangrijk om deze documentatie op orde te hebben!

Bewaartermijnen

  • De jaarrekening, administraties en facturen voor de omzetbelasting, moeten minimaal zeven jaar bewaard blijven.
  • Gegevens van bedrijfsmatig onroerend goed moeten minimaal tien jaar bewaard blijven.
  • Sollicitatiebrieven en -correspondentie mogen zonder toestemming na afloop van de sollicitatieprocedure maximaal vier weken bewaard blijven.
  • Voor sollicitatiebrieven en CV's voor eventuele toekomstige vacatures is de hoofdregel dat deze mer expliciete toestemming van de sollicitant maximaal een jaar bewaard mogen blijven.
  • Als een medewerker uit dienst treedt, moeten de verslagen van functioneringsgesprekken minimaal 2 jaar bewaard blijven, de loonbelastingverklaringen en kopieën van identiteitsbewijzen minimaal vijf jaar en de afspraken over salaris en arbeidsvoorwaarden minimaal zeven jaar. Voor arbeidsovereenkomsten geldt een maximale bewaartermijn van twee jaar.

Persoonsgegevens verwijderen

Wanneer de bewaartermijn van de persoonsgegevens is verstreken, moeten deze gegevens verwijderd worden. Hiervoor zijn drie mogelijkheden:

  • Wissen
  • Vernietigen
  • Anonimiseren

Met het verwijderen van de persoonsgegevens wordt bedoeld, dat je ervoor zorgt dat de gegevens niet langer meer bestaan of bruikbaar zijn. Vanuit de AVG worden er geen speciale eisen gesteld aan het verwijderen van de persoonsgegevens. Wel is het uiteraard noodzakelijk dat je kunt aantonen op welke manier je zorgt voor het verwijderen van deze privacygevoelige informatie.

Is jouw bedrijf privacy proof?

Wil je weten of jouw bedrijf voldoet aan de AVG? Vul de gratis AVG Risico Scan in en zie hoe privacy proof jouw organisatie is.

Start de gratis AVG Risico Scan »

17 april 2019
Doe de AVG Risico Scan