PrivacyBlox over de AVG [12/20]: hoe lang mag je persoonsgegevens nog bewaren onder de AVG?

16 februari 2018

De nieuwe Europese privacywet roept vele vragen op. De Algemene Verordening Gegevensbescherming (AVG) stelt namelijk vele nieuwe eisen en verboden, onder meer over de opslag van persoonsgegevens. Een bijzonder aandachtspunt daarbij is de lengte van die opslag. Dit mag niet langer dan nodig, maar hoe lang is dat nu concreet?   

Organisaties mogen alleen met persoonlijke informatie werken als ze daar een noodzaak voor hebben. Dat geldt tevens bij het bewaren van informatie. De vraag is dus niet, hoe lang mag ik dit bewaren, maar hoe lang heb ik deze informatie nódig. Het onderbouwde antwoord daarop geeft de bewaartermijn.

In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft. Neem bijvoorbeeld het bewaren van sollicitatiebrieven met cv’s. Dit zal nodig zijn gedurende de sollicitatieprocedure, maar hoe lang daarna ze nog nodig zijn, daar kun je over twisten. Een mogelijke insteek is ze tot 2 maanden na vervulling van de functie te bewaren, met als argument dat je dan na een mislukte proeftijd andere kandidaten nog kunt benaderen. Een andere insteek is een jaar: mensen kunnen immers later opnieuw solliciteren, en weten wat er eerder is gezegd en besloten is daarbij redelijkerwijs van belang.

Voor diverse bedrijfsinformatie gelden wettelijke bewaartermijnen. Hoofdregel hierbij is dat als een wet eist dat bepaalde gegevens worden bewaard, de AVG dit dan ook toestaat. De wettelijke bewaartermijn moet wel worden genoemd in de registratie van de verwerking

Verder mogen natuurlijk alleen die gegevens worden bewaard waar de bewaarplicht op geldt. Een voorbeeld: een webwinkel moet haar verkoopadministratie zeven jaar lang bewaren (art. 52 Wet Rijksbelastingen). Dat geldt dus ook als er in die administratie persoonsgegevens van klanten zitten. Maar dit betekent niet dat klantprofielen van de webwinkel zeven jaar actief gehouden mogen worden, of dat e-mailadressen zeven jaar lang nog gemaild mogen worden. Die vallen immers buiten de wettelijk vereiste gegevens.

De bewaartermijn wordt inclusief motivatie opgenomen in het verwerkingsregister waar we vorige week over schreven. En natuurlijk moeten gegevens ook daadwerkelijk weggegooid worden als de bewaartermijn verstreken is. 

Meer weten over de AVG? Aanstaande woensdag 21 februari 2018 organiseren wij een gratis AVG webinar over de belangrijkste veranderingen die de AVG met zich meebrengt. Ook wordt tijdens deze webinar aan de hand van de software van PrivacyBlox getoond hoe de juiste tooling u en uw organisatie kan ondersteunen in het voldoen aan de AVG. Voor meer informatie en aanmelden: Webinar: update Algemene Verordening Gegevensbescherming (AVG).

MEER
LEZEN?

Facebook maakt misbruik van haar machtspositie!

Volgens de Duitse concurrentiewaakhond heeft Facebook een machtspositie op de markt van sociale netwerken en maakt zij zich schuldig aan een vorm van misbruik van deze dominante positie.
Lees meer

Reclame maken: Waar ligt de grens?

Wat mag wel en wat mag niet bij het reclame maken? Misleidende reclame kan ertoe leiden dat de rechter een verbod oplegt. Overdrijven mag, maar wees wel specifiek, zorgvuldig en eerlijk.
Lees meer

De Autoriteit Persoonsgegevens vernieuwt boetebeleid

In de boetebeleidsregels heeft de AP vier verschillende categorieën met bijbehorende boetebandbreedtes geïntroduceerd op basis van de verschillende AVG-verplichtingen.
Lees meer
Arnoud Engelfriet

Arnoud Engelfriet

Arnoud Engelfriet is kennispartner bij JuriBlox. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.