AVG compliance: hoe lang mag je persoonsgegevens nog bewaren onder de AVG? (12/20)

De nieuwe Europese privacywet roept vele vragen op. De Algemene Verordening Gegevensbescherming (AVG) stelt namelijk vele nieuwe eisen en verboden, onder meer over de opslag van persoonsgegevens. Een bijzonder aandachtspunt daarbij is de lengte van die opslag. Dit mag niet langer dan nodig, maar hoe lang is dat nu concreet?

Organisaties mogen alleen met persoonlijke informatie werken als ze daar een noodzaak voor hebben. Dat geldt tevens bij het bewaren van informatie. De vraag is dus niet, hoe lang mag ik dit bewaren, maar hoe lang heb ik deze informatie nódig. Het onderbouwde antwoord daarop geeft de bewaartermijn.

In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft. Neem bijvoorbeeld het bewaren van sollicitatiebrieven met cv’s. Dit zal nodig zijn gedurende de sollicitatieprocedure, maar hoe lang daarna ze nog nodig zijn, daar kun je over twisten. Een mogelijke insteek is ze tot twee maanden na vervulling van de functie te bewaren, met als argument dat je dan na een mislukte proeftijd andere kandidaten nog kunt benaderen. Een andere insteek is een jaar: mensen kunnen immers later opnieuw solliciteren, en weten wat er eerder is gezegd en besloten is daarbij redelijkerwijs van belang.

Voor diverse bedrijfsinformatie gelden wettelijke bewaartermijnen. Hoofdregel hierbij is dat als een wet eist dat bepaalde gegevens worden bewaard, de AVG dit dan ook toestaat. De wettelijke bewaartermijn moet wel worden genoemd in de registratie van de verwerking.

Verder mogen natuurlijk alleen die gegevens worden bewaard waar de bewaarplicht op geldt. Een voorbeeld: een webwinkel moet haar verkoopadministratie zeven jaar lang bewaren (art. 52 Wet Rijksbelastingen). Dat geldt dus ook als er in die administratie persoonsgegevens van klanten zitten. Maar dit betekent niet dat klantprofielen van de webwinkel zeven jaar actief gehouden mogen worden, of dat e-mailadressen zeven jaar lang nog gemaild mogen worden. Die vallen immers buiten de wettelijk vereiste gegevens.

De bewaartermijn wordt inclusief motivatie opgenomen in het verwerkingsregister waar we in deel 8 over schreven. En natuurlijk moeten gegevens ook daadwerkelijk weggegooid worden als de bewaartermijn verstreken is.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.