Hoe lang mogen persoonsgegevens worden bewaard?

22 mei 2019

Marius Dekkers

Overheid, Privacy

Voormalig Van Till advocaat Sara Biersteker schreef eerder een goede blog over de vraag hoe lang persoonsgegevens mogen worden bewaard. Vorig jaar is de Algemene verordening gegevensbescherming (AVG) in werking getreden. In deze blog geven wij een actueel overzicht van de huidige regelgeving.

Naam, e-mailadres, pasfoto

Even ter opfrissing: een persoonsgegeven is ieder gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Hier vallen dus in principe alle gegevens onder die herleidbaar zijn tot een zeker individu. Voorbeelden van persoonsgegevens zijn een naam, een e-mailadres, een telefoonnummer maar ook een pasfoto, het individu is immers op de foto herkenbaar.

Persoonsgegevens

In praktisch elke onderneming heeft men te maken met persoonsgegevens. De persoonsgegevens van de klant worden voor de afwikkeling van een bestelling (of een klacht) bijvoorbeeld opgenomen in een klantenbestand. Daarnaast heeft men als ondernemer ook te maken met persoonsgegevens wanneer er personeel in dienst is. Er moet immers salaris worden betaald en belasting voor de werknemer(s) worden afgedragen.

Algemene verordening gegevensbescherming (AVG)

Het uitgangspunt van de AVG is dat u de persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel van de verwerking. Van geval tot geval zult u moeten beoordelen hoe lang gegevens kunnen worden bewaard. Voor bepaalde gegevens kan een wettelijke bewaarplicht gelden.

Wettelijke bewaarplicht

Deze wettelijke bewaarplichten schrijven u voor om bepaalde informatie gedurende een minimale periode te bewaren. De Wet op de Omzetbelasting en de Uitvoeringswet Omzetbelasting schrijven bijvoorbeeld voor dat facturen gedurende zeven jaar dienen te worden bewaard.

Loonadministratie

Voor de loonadministratie is in het Loonadministratiebesluit bepaald dat deze gedurende vijf jaar na het jaar waarop zij betrekking heeft moet worden bewaard. Het is belangrijk hier rekening mee te houden. Na verloop van de wettelijke bewaartermijn, moet u de persoonsgegevens in principe verwijderen, tenzij er een andere grond is waarop u bepaalde gegevens nog mag of moet bewaren.

Autoriteit Persoonsgegevens

Voor veel andere categorieën van persoonsgegevens heeft de Autoriteit Persoonsgegevens een indicatie van een redelijke bewaartermijn gegeven. Zo wordt voor de gegevens van sollicitanten een bewaartermijn tot vier weken na het einde van het sollicitatieproces aangehouden. Die kan met toestemming van de sollicitant worden verlengd als u  verwacht dat er mogelijke nog een andere geschikte positie vrijkomt. Een ander praktijkvoorbeeld is een abonnement op krant of tijdschrift. Bedrijven mogen dergelijke gegevens tot twee jaar na het opzeggen van uw abonnement bewaren.

Bewaartermijn

Bij het bewaren van persoonsgegevens dient u ter bepaling van de bewaartermijn dus na te gaan voor welk doel u de gegevens heeft verkregen en of de verkregen gegevens wellicht onder een wettelijke bewaarplicht vallen. In het laatste geval staat de bewaartermijn immers vast.

Heeft u meer vragen over dit onderwerp? U kunt contact opnemen met onze advocaat Marius Dekkers, die u meer over dit onderwerp kan vertellen.