Vergroot contrast

Bewaren van persoonsgegevens

De inhoud van een digitaal of papieren dossier bevat veel informatie over een persoon. De huisarts weet bijvoorbeeld welke medicijnen zijn patiënt gebruikt. En de werkgever kan zien wanneer het salaris van een werknemer voor de laatste keer is verhoogd. Om een goede administratie bij te kunnen houden, moet een organisatie bepaalde persoonsgegevens een tijd bewaren. Maar organisaties mogen die gegevens niet langer bewaren dan noodzakelijk is.

Er is op grond van de Algemene verordening gegevensbescherming (AVG) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld op grond van belastingwetgeving.

Gegevens vernietigen

Is de bewaartermijn van persoonsgegevens voorbij? Of zijn de gegevens niet meer noodzakelijk? Dan moeten organisaties de gegevens vernietigen.

Gegevens archiveren

De overheid is verplicht om bepaalde informatie voor altijd te bewaren. Dat staat in de Archiefwet. In deze informatie staan vaak persoonsgegevens. Daarom hebben overheidsorganisaties bij archivering ook te maken met de AVG. Zie verder: Archivering door de overheid.
 

Bekijk binnen het onderwerp Bewaren van persoonsgegevens

Alle antwoorden op mijn vragenAlgemene vragen over het bewaren van persoonsgegevens

  • Hoe bepaal ik de bewaartermijn van persoonsgegevens?

    De Algemene verordening gegevensbescherming (AVG) schrijft geen concrete bewaartermijnen voor. Het uitgangspunt is dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk. Wat noodzakelijk is hangt af van de situatie. Vandaar dat u zelf moet vaststellen wat in uw situatie passend is.

    Er is helaas geen formule voor het vaststellen van bewaartermijnen. Wel kan het antwoord op de volgende vragen u helpen:

    • Zijn er wettelijke termijnen waar u zich aan moet houden? Bijvoorbeeld op grond van belastingwetgeving of de Archiefwet. En als er nog een juridische procedure loopt moet u de persoonsgegevens ook bewaren.
    • Hoe lang heeft u de gegevens nodig voor het doel waarvoor u ze verwerkt? Kijk hierbij ook naar uw bedrijfsbeleid. Zo kunt u bepaalde gegevens bijvoorbeeld nog nodig hebben voor de controle op openstaande facturen.
    • Het uitgangspunt van de wet is dat u persoonsgegevens zo kort mogelijk bewaart. Kunt u de termijn nog aanscherpen?

    Tip: bent u aangesloten bij een branchevereniging? Dan heeft deze wellicht meer informatie over welke bewaartermijnen gebruikelijk zijn in uw sector. Dit staat dan bijvoorbeeld in een gedragscode.

    Klachten over bewaartermijnen

    Mensen kunnen een klacht indienen bij de Autoriteit Persoonsgegevens (AP) wanneer zij vinden dat u hun persoonsgegevens onnodig lang bewaart.

    Privacybeleid

    Leg de bewaartermijnen en de onderbouwing daarom vast. Bijvoorbeeld in uw privacybeleid. Dan kunt u zich verantwoorden wanneer de AP daar om vraagt.

    De AP beoordeelt onder andere of uw onderbouwing redelijk is. En of u de bewaartermijn inderdaad zo kort mogelijk houdt gelet op het doel van de verwerking.

    Periodieke controle

    Controleer periodiek de persoonsgegevens die u verwerkt. Wis of anonimiseer die persoonsgegevens waarvan de bewaartermijn is verstreken. Of eerder als u ze niet meer nodig heeft.

    Meer info? Zie dossier ‘bewaren persoonsgegevens’

  • Hoe moet een organisatie mijn gegevens vernietigen?

    Een organisatie moet uw gegevens vernietigen als de bewaartermijn voorbij is of uw gegevens niet meer noodzakelijk zijn. Daarbij moet de organisatie zorgvuldig omgaan met uw persoonsgegevens.

    Dat betekent dat de organisatie goed moet stilstaan bij de manier waarop deze uw gegevens vernietigt. Zeker als het om gevoelige gegevens gaat, zoals medische gegevens.

    Voor digitaal opgeslagen gegevens zijn bijvoorbeeld systemen ontwikkeld die automatisch gegevens vernietigen op een van tevoren aangegeven tijdstip.

    Dossier digitaliseren

    Wil een organisatie uw papieren dossier digitaal maken? Dan mag de organisatie uw originele papieren dossier pas vernietigen als de organisatie zorgt voor een goede beveiliging van het digitale dossier.

  • Kan ik mijn persoonsgegevens laten verwijderen?

    U heeft het recht om een organisatie te vragen bepaalde persoonsgegevens van u te verwijderen. Dat kunt u vragen als deze gegevens niet kloppen, niet compleet zijn of niet (meer) ter zake doen.

  • Wat kan ik doen als ik een vraag of klacht heb over hoe lang een organisatie mijn persoonsgegevens bewaart?

    Ga met uw vragen of klachten altijd eerst naar de organisatie zelf.

    Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan kunt u een privacyklacht indienen bij de Autoriteit Persoonsgegevens.

Alle antwoorden op mijn vragenSpecifieke bewaartermijnen

  • Hoe lang mag mijn werkgever mijn gegevens bewaren?

    Voor sommige gegevens uit uw personeelsdossier geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst uw werkgever verplicht om die gegevens een bepaalde periode te bewaren.

    Voorbeelden hiervan zijn uw loonbelastingverklaring en een kopie van uw identiteitsbewijs. Deze moet uw werkgever 5 jaar bewaren nadat u uit dienst bent.

    Voor andere gegevens uit uw personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens is de richtlijn: een bewaartermijn van 2 jaar nadat u uit dienst bent.

  • Hoe lang mag een organisatie mijn sollicitatiegegevens bewaren?

    Het is gebruikelijk dat een organisatie uw sollicitatiegegevens verwijdert uiterlijk 4 weken na het einde van de sollicitatieprocedure.

    Wel kunt u toestemming geven om uw gegevens langer te bewaren. Bijvoorbeeld omdat er mogelijk op een later tijdstip een passende functie voor u komt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

  • Hoe lang mag mijn huisarts mijn medische gegevens bewaren?

    De hoofdregel is dat uw huisarts of specialist uw medisch dossier minimaal 20 jaar moet bewaren nadat uw behandeling is gestopt. Zie verder: Hoe lang blijft mijn medisch dossier bewaard?

  • Hoe lang mag de school de gegevens van mijn kind bewaren?

    In het algemeen geldt dat de school een leerlingdossier 2 jaar mag bewaren nadat uw kind van school is gegaan. In sommige situaties legt de wet- en regelgeving voor het onderwijs een langere bewaartermijn op.

  • Hoe lang mogen camerabeelden bewaard worden?

    Camerabeelden van openbare plaatsen mogen maximaal 4 weken bewaard worden. Maar zijn er beelden van strafbare feiten vastgelegd? Die als bewijsmateriaal kunnen dienen in een strafprocedure? Dan kan de bewaartermijn worden verlengd.  

    Voor de overige camerabeelden, zoals uit winkels, geldt ook een bewaartermijn van 4 weken. Maar is er een incident vastgelegd, zoals een winkeldiefstal? Dan mag de winkelier de beelden bewaren tot dit incident is afgehandeld.

  • Hoe lang mag een overheidsorganisatie mijn gegevens bewaren?

    De meeste informatie die de overheid over u verwerkt, wordt vernietigd zodra de overheid deze informatie niet meer nodig heeft om taken uit te voeren. Maar sommige belangrijke overheidsinformatie moet de overheid voor altijd bewaren.

    Voor meer informatie, lees: Mag de overheid mijn persoonsgegevens voor altijd bewaren?