ISO 27001 informatiegidsDe Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 geldt, verplicht organisaties om maatregelen te nemen waarmee de veiligheid van persoonsgegevens wordt geborgd. Door de nieuwe AVG wet krijgen personen meer mogelijkheden om voor zichzelf op te komen bij het verwerken van hun gegevens. Maar wat zijn eigenlijk de richtlijnen omtrent de bewaartermijn van persoonsgegevens? Hoelang mag je als organisatie gegevens bewaren?

Bewaartermijn persoonsgegevens AVG?

Het antwoord op de vraag hoelang de bewaartermijn persoonsgegevens in de AVG wet is, is vrij simpel: de AVG geeft geen concrete bewaartermijn voor persoonsgegevens aan. In de wet wordt wel gesproken over opslagbeperking. Dat houdt in dat persoonsgegevens zolang bewaard mogen worden als dat nodig is voor het doel waarvoor ze verzameld zijn. Daarop zijn een aantal uitzonderingen:

  • Wanneer gegevens geanonimiseerd worden, dan is het onder bepaalde voorwaarden wel mogelijk om ze langer te bewaren.
  • Opslag mag wanneer sprake is van archivering voor algemeen belang, wetenschappelijk onderzoek of statistische/historische doeleinden.
  • Persoonsgegevens bewaren mag als dit door wetgeving wordt voorgeschreven. De Belastingwet schrijft bijvoorbeeld een bewaartermijn van 7 jaar voor.

Met de komst van de nieuwe privacywet hebben personen veel meer rechten. Zo is er het recht op vergetelheid waarbij personen aan organisaties mogen vragen hun persoonsgegevens te laten verwijderen. Ook is er het recht op dataportabiliteit. Dat houdt in dat mensen (onder bepaalde voorwaarden) het recht hebben om hun persoonsgegevens vanuit een organisatie in een standaardformaat te ontvangen.

Bewaartermijn AVG afhankelijk van procesdoeleinden

De nieuwe privacywetgeving schrijft voor dat organisaties die persoonsgegevens verwerken dienen vast te leggen hoelang zij de gegevens bewaren en voor welke doeleinden. Er is dus geen eenduidige bewaartermijn, maar bij ieder proces moet worden bekeken wat de kortst mogelijke tijd is voor de opslag van de gegevens. Wanneer kunnen gegevens vernietigd worden zonder dat het ten koste gaat van het proces? Ook dienen organisaties gegevens actueel te houden gedurende de bewaartermijn en moeten deze indien mogelijk geanonimiseerd worden.

Organisaties moeten steeds de belangen afwegen tussen het doel waarvoor de gegevens worden verwerkt en de mogelijke gevolgen voor de betrokkene. Stel je als organisatie de volgende vragen om een onderbouwde bewaartermijn te kunnen bepalen:

  • Hoelang is de opslag van gegevens daadwerkelijk nodig?
  • Welke gegevens zijn er nodig?
  • Kunnen er passende organisatorische en technische methodes worden toegepast om de gegevens veilig op te slaan?
  • Wat zijn de gevolgen van de betrokkenen als er een datalek ontstaat?
  • Wat is de impact op de persoonlijke levenssfeer van de betrokkene als de data gelekt wordt?

AVG / GDPR training volgen?

De nieuwe AVG wet verlangt van organisaties dat de privacy van persoonsgegevens wordt geborgd. Als organisatie wil je natuurlijk graag voorbereid zijn op de komst van de nieuwe wet. Tijdens onze cursus AVG/GDPR binnen een dag leer je alles wat je moet weten om het nieuwe privacybeleid binnen jouw organisatie vorm te geven. Interesse? Bekijk ons cursusaanbod:

Bekijk AVG cursus
Training academy

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl