Hoe lang mogen (of moeten) persoonsgegevens worden bewaard?

Onlangs kregen wij de vraag hoe lang persoonsgegevens precies mogen (of moeten) worden bewaard. Een interessante vraag waarop ik nu kort een antwoord zal formuleren.

Even ter opfrissing: een persoonsgegeven is ieder gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Hier vallen dus in principe alle gegevens onder die herleidbaar zijn tot een zeker individu. Voorbeelden van persoonsgegevens zijn een naam, een e-mailadres, een telefoonnummer maar ook een pasfoto, het individu is immers op de foto herkenbaar.

In praktisch iedere onderneming heeft men te maken met persoonsgegevens. De persoonsgegevens van de klant worden voor de afwikkeling van een bestelling (of een klacht) bijvoorbeeld opgenomen in een klantenbestand. Daarnaast heeft men als ondernemer ook te maken met persoonsgegevens wanneer er personeel in dienst is. Er moet immers salaris worden betaald en belasting voor de werknemer(s) worden afgedragen.

Op de verwerking van persoonsgegevens is de Wet bescherming persoonsgegevens (Wbp) van toepassing. Artikel 10 van deze wet zegt over de bewaartermijn van persoonsgegevens: “persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld en vervolgens verwerkt”. De bewaartermijn is dus geheel afhankelijk het doel waarvoor de gegevens verzameld zijn, een harde bewaartermijn geeft de Wbp niet. Het is dus aan u als ondernemer om de inschatting te maken hoe lang het noodzakelijk is de gegevens te bewaren.

Bij het bepalen van de bewaartermijn dient u echter wel rekening te houden met eventuele wettelijke bewaarplichten. Deze wettelijke bewaarplichten schrijven u voor om bepaalde informatie gedurende een minimale periode te bewaren. Zo schrijven de Wet op de Omzetbelasting en de Uitvoeringswet Omzetbelasting bijvoorbeeld voor dat facturen e.d. gedurende zeven jaar dienen te worden bewaard. Voor de loonadministratie is in het Loonadministratiebesluit bepaald dat deze gedurende vijf jaar na het jaar waarop zij betrekking heeft moet worden bewaard. Het is belangrijk hier rekening mee te houden. Alle gegevens die niet onder deze wettelijke bewaarplichten vallen kunt u – indien nodig – wel met een gerust hart verwijderen.

Tenslotte wordt – om het vaststellen van de bewaartermijn iets te vergemakkelijken – in het Vrijstellingsbesluit Wet Bescherming Persoonsgegevens voor bepaalde categorieën gegevens een indicatie van een redelijke bewaartermijn gegeven. Zo worden een bewaartermijn van vier weken na de sollicitatieperiode voor sollicitatiegegevens, een termijn van twee jaar na einde dienstverband voor personeelsgegevens en een termijn van twee jaar na einde abonnement van abonneegegevens redelijk geacht. U kunt de gegevens uiteraard langer bewaren indien dit noodzakelijk is; u spreekt bijvoorbeeld met de sollicitant af dat u de gegevens opneemt in het dossier.

Bij het bewaren van persoonsgegevens dient u ter bepaling van de bewaartermijn dus na te gaan voor welk doel u de gegevens heeft verkregen en of de verkregen gegevens wellicht onder een wettelijke bewaarplicht vallen. In het laatste geval staat de bewaartermijn immers vast.

Wilt u weten hoe het is geregeld onder de nieuwe Algemene verordening gegevensbescherming (AVG) die 25 mei 2018 in werking treedt? Neem dan contact op met Marius Dekkers