13 Dec 2022

Bewaartermijnen; de juridische ins & outs

Het hele spectrum rondom privacy is de laatste jaren een veelbesproken onderwerp. Hierbij is bewaartermijnen een van de aspecten die steeds belangrijker wordt. De regel is: niet langer bewaren dan noodzakelijk. Uiteindelijk dien je alle (in)direct herleidbare persoonsgegevens te verwijderen. Maar in welke mate worden persoonsgegevens verwerkt? En hoe staat dit in relatie tot het bewaren van de persoonsgegevens en het definitieve verwijderen daarvan?

Bewaartermijnen en de AVG

Het doel van de AVG is het handhaven van de bescherming van persoonsgegevens en de transparantie van bedrijven over dit onderwerp. Dit zorgt voor zorgvuldiger omgaan met het invullen van persoonsgegevens (online). De persoonsgegevens worden namelijk steeds vaker ingevuld in de vorm van:

  • (mail)adressen
  • persoonlijke kenmerken
  • cookies

Bewaartermijnen is al langer een belangrijk onderwerp bij de AVG.  Maar door de technologische ontwikkelingen neemt de AVG het nu een stuk serieuzer. Ze geven aan dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk en dat transparantie aanwezig dient te zijn. Dit geeft jou duidelijkheid over hoe en hoe lang je persoonsgegevens mag bewaren.

Het bepalen van bewaartermijnen

Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk. Dat is de regel van de AVG. Maar welke bewaartermijnen zijn er dan? In de AVG zijn er geen bewaartermijnen vastgesteld. Wel zijn er enkele wetten die zich hierover uitspreken. Een minimale bewaartermijn, voor verschillende soorten persoonsgegevens, bestaat dus. De maximale bewaartermijn moet je vaak zelf bepalen. Maar welk bewaartermijn is redelijk? Onderstaande vragen helpen je hierbij:

  • Waarom zijn de gegevens verzameld?
  • Wat is het doel bij het verwerken van de persoonsgegevens?
  • Hoe veel tijd is er benodigd om dit doel te behalen?

Maar ook:

  • Wat is de reden dat de persoonsgegevens gebruikt worden? Oftewel; wat is de grondslag? De AVG kent een aantal grondslagen.
    • Er is toestemming van de persoon om de gegevens te gebruiken
    • Het is benodigd voor het sluiten/nakomen van een overeenkomst
    • Er is een gerechtvaardigd belang om de gegevens te verwerken
    • Er bestaat een wettelijke verplichting om de gegevens te verwerken

Hoofdlijnen bij het bepalen van de bewaartermijn volgens de AVG

De AVG geeft aan dat je enkel persoonsgegevens mag verwerken die absoluut noodzakelijk zijn. Per persoonsgegeven kijk je of deze noodzakelijk is om te bewaren. Zo niet, dan verwijderen. Daarnaast is belangrijk om naar de aard van de persoonsgegevens te kijken. Om welke gegevens gaat het? Zijn het bijvoorbeeld medische, gevoelige gegevens, kijk dan kritischer naar de bewaartermijn. Geef daarnaast de keuze tussen de minimale bewaartermijn of een maximale bewaartermijn. Dit gebeurt vaak bij sollicitatieprocedures waarbij de kandidaat vooraf aan kan geven of de persoonsgegevens langer dan de standaard 4 weken bewaard mogen worden of niet. Verder is het allerbelangrijkste dat een bewaartermijn redelijk en onderbouwd is. Om bij controle snel de gedachtegang achter de bewaartermijnen te kunnen tonen is het prettig om een bewaartermijnenbeleid achter de hand te hebben. Hierin zet je alle bewaartermijnen met bijbehorende redeneringen. Dit is niet verplicht, maar zeker wel handig.

De bewaartermijn is voorbij – wat nu?

Na afloop van de bewaartermijn dient er besloten te worden wat er wordt gedaan met de persoonsgegevens. Je kan een aantal keuzes maken:

  • De persoonsgegevens worden definitief verwijderd. Bij onlineverwerking is een schriftelijke bevestiging van verwijdering gewenst en bij offlineverwerking dienen de documenten onherkenbaar te worden weggegooid.
  • De bewaartermijn wordt verlengd – indien juridisch mogelijk en toestemming van de betrokkene.
  • De persoonsgegevens worden geanonimiseerd. Volgens de AVG zijn het dan geen persoonsgegevens meer, gezien ze niet herleidbaar zijn.

Er zijn verschillende manieren om te anonimiseren:

  • Technisch: Gegevens zijn nooit meer herleidbaar
  • Juridisch: Herleidbaarheid onmogelijk of verboden door de wet – AVG verplicht dit
  • Pseudonimiseren: enkel met aanvullende gegevens herleidbaar – AVG neemt hier geen genoegen mee.

 

Wil je meer informatie over de juridische kant van bewaartermijnen? Kijk dan hier de Roadshow terug.

Open chat
1
💬 Kan ik je helpen?
Hi 👋
Kan ik je ergens mee helpen?