Loop jij ook altijd zo te vechten met bewaartermijnen?

Artikelen  |  ma 15 mei 2023



Het hele spectrum rondom privacy is de laatste jaren een veelbesproken onderwerp. Hierbij is bewaartermijnen een van die aspecten die steeds relevanter wordt. De regel is: niet langer bewaren dan noodzakelijk. Uiteindelijk dien je alle (in)direct herleidbare persoonsgegevens te verwijderen. Het idee achter de strengere regelgeving van de AVG is herkenbaar en voordehand liggend. Door technologische ontwikkelingen worden meer persoonsgegevens dan ooit verzameld.

Wat zijn bewaartermijnen?

Om ervoor te zorgen dat persoonsgegevens niet overal blijven rondslingeren, heeft de AVG de regel voor bewaartermijnen opgesteld. De AVG zegt dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk is. Het is daarom verplicht om voor elk persoonsgegeven dat een organisatie verwerkt een bewaartermijn vast te stellen.

Een bewaartermijn bepaalt hoelang je bepaalde persoonsgegevens mag bewaren. Als er bijvoorbeeld een bewaartermijn van 7 jaar is vastgesteld, dan betekent dit dat persoonsgegevens 7 jaar bewaard moeten blijven. Als de bewaartermijn verlopen is, dan moeten de persoonsgegevens verwijderd worden.

De AVG geeft aan dat je enkel persoonsgegevens mag verwerken die absoluut noodzakelijk zijn. Per persoonsgegeven kijk je of deze noodzakelijk is om te bewaren. Zo niet, dan moet je ze verwijderen. Daarnaast is belangrijk om naar de aard van de persoonsgegevens te kijken. Om welke gegevens gaat het? Zijn het bijvoorbeeld medische of gevoelige gegevens, kijk dan kritischer naar de bewaartermijn.

Het belangrijkste is dat een bewaartermijn redelijk is en dat de organisatie kan onderbouwen waarom een bepaalde bewaartermijn gekozen is. Het is aangeraden om een bewaartermijnenbeleid op te stellen, waarin alle bewaartermijnen opgeschreven en onderbouwd worden. Bovendien kan in dit beleid beschreven worden op welke manier er uitvoering wordt gegeven binnen de organisatie aan de bewaartermijnen. Ook is het handig om bij controle snel de gedachtegang achter de bewaartermijnen te kunnen tonen.

De bewaartermijn is voorbij – wat nu?

Na afloop van een bewaartermijn, moeten de persoonsgegevens op één of andere manier niet meer te herleiden zijn tot de betrokken persoon. De AVG zegt namelijk dat je persoonsgegevens niet langer mag bewaren in een vorm die herleidbaar is naar de betrokkenen. Dit opent een aantal mogelijkheden voor organisaties na afloop van de bewaartermijn.

1. Verwijderen
2. Anonimiseren
3. Verlengen

1. Verwijderen

De eerste optie is om de persoonsgegevens te verwijderen. Let erop dat verwijderen ook echt verwijderen is! Als een mail verwijderd wordt, zit die vaak nog in de verwijderd-map. En documenten die verwijderen worden zitten vaak nog in de virtuele prullenbak.

2. Anonimiseren

De tweede optie die organisaties hebben, is het anonimiseren van persoonsgegevens. Als persoonsgegevens geanonimiseerd worden, is het niet meer mogelijk om de gegevens terug te leiden tot de betrokkenen. En dan zijn het geen persoonsgegevens meer. Anonimiseren is een aantrekkelijke optie voor veel organisaties.

3. Verlengen

De derde optie is het verlengen van de bewaartermijn/ Dit is meestal alleen toegestaan als de organisatie daarvoor toestemming heeft gekregen van de persoon op wie de gegevens betrekking hebben. Soms kunnen er echter omstandigheden zijn waardoor het nodig is om de persoonsgegevens langer te bewaren dan is vastgelegd.

Maak het gemakkelijk

Het verwerken van bewaartermijnen is dus best ingewikkeld. Maar het is belangrijk om het op de juiste manier te doen. Met het cliëntvolgsysteem Rapasso zie je niets over het hoofd. Zo stuurt Rapasso handige pushberichten op het moment dat je data moet anonimiseren. De uiteindelijke beslissing is een handeling die je zelf te allen tijde bewust moet uitvoeren. Gegevens verdwijnen dus alleen onder jouw voorwaarden.