AVG: Hoelang is de bewaartermijn persoonsgegevens?
Hoelang is de bewaartermijn voor persoonsgegevens bij de nieuwe AVG wetgeving? In dit artikel vertellen we je er alles over.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlDe Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 geldt, verplicht organisaties om maatregelen te nemen waarmee de veiligheid van persoonsgegevens wordt geborgd. Door de nieuwe AVG wet krijgen personen meer mogelijkheden om voor zichzelf op te komen bij het verwerken van hun gegevens. Maar wat zijn eigenlijk de richtlijnen omtrent de bewaartermijn van persoonsgegevens? Hoelang mag je als organisatie gegevens bewaren?
Bewaartermijn persoonsgegevens AVG?
Het antwoord op de vraag hoelang de bewaartermijn persoonsgegevens in de AVG wet is, is vrij simpel: de AVG geeft geen concrete bewaartermijn voor persoonsgegevens aan. In de wet wordt wel gesproken over opslagbeperking. Dat houdt in dat persoonsgegevens zolang bewaard mogen worden als dat nodig is voor het doel waarvoor ze verzameld zijn. Daarop zijn een aantal uitzonderingen:
- Wanneer gegevens geanonimiseerd worden, dan is het onder bepaalde voorwaarden wel mogelijk om ze langer te bewaren.
- Opslag mag wanneer sprake is van archivering voor algemeen belang, wetenschappelijk onderzoek of statistische/historische doeleinden.
- Persoonsgegevens bewaren mag als dit door wetgeving wordt voorgeschreven. De Belastingwet schrijft bijvoorbeeld een bewaartermijn van 7 jaar voor.
Met de komst van de nieuwe privacywet hebben personen veel meer rechten. Zo is er het recht op vergetelheid waarbij personen aan organisaties mogen vragen hun persoonsgegevens te laten verwijderen. Ook is er het recht op dataportabiliteit. Dat houdt in dat mensen (onder bepaalde voorwaarden) het recht hebben om hun persoonsgegevens vanuit een organisatie in een standaardformaat te ontvangen.
Bewaartermijn AVG afhankelijk van procesdoeleinden
De nieuwe privacywetgeving schrijft voor dat organisaties die persoonsgegevens verwerken dienen vast te leggen hoelang zij de gegevens bewaren en voor welke doeleinden. Er is dus geen eenduidige bewaartermijn, maar bij ieder proces moet worden bekeken wat de kortst mogelijke tijd is voor de opslag van de gegevens. Wanneer kunnen gegevens vernietigd worden zonder dat het ten koste gaat van het proces? Ook dienen organisaties gegevens actueel te houden gedurende de bewaartermijn en moeten deze indien mogelijk geanonimiseerd worden.
Organisaties moeten steeds de belangen afwegen tussen het doel waarvoor de gegevens worden verwerkt en de mogelijke gevolgen voor de betrokkene. Stel je als organisatie de volgende vragen om een onderbouwde bewaartermijn te kunnen bepalen:
- Hoelang is de opslag van gegevens daadwerkelijk nodig?
- Welke gegevens zijn er nodig?
- Kunnen er passende organisatorische en technische methodes worden toegepast om de gegevens veilig op te slaan?
- Wat zijn de gevolgen van de betrokkenen als er een datalek ontstaat?
- Wat is de impact op de persoonlijke levenssfeer van de betrokkene als de data gelekt wordt?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlLeer alles over ISO 27001
Download de gids
- Stap voor stap
- Praktische tips
- Handige naslag