Veel organisaties beschikken over grote hoeveelheden (digitale) dossiers. Een werkgever kan bijvoorbeeld zien welke afspraken er zijn gemaakt over het salaris van een werknemer, en een ziekenhuis weet welke medicijnen patiënten gebruiken. Het is van belang dat organisaties een goede administratie bijhouden, en bepaalde persoonsgegevens gedurende een bewaartermijn volgens de AVG bewaren. Tegelijkertijd zijn organisaties ook verplicht om op grond van het recht op inzage informatie te verstrekken over onder andere de bewaartermijn of, wanneer indien dat niet mogelijk is, de criteria om de bewaartermijn te bepalen. In deze blog gaan we nader in op de bewaartermijn AVG.
De bewaartermijn van persoonsgegevens wordt omschreven in artikel 5 lid 1 sub e AVG. Deze bepaling wordt ook wel de opslagbeperking genoemd en wordt opgedeeld in twee delen. Het eerste gaat over het bewaren van persoonsgegevens en het tweede deel over de opslagtermijn en het opslagdoel. Uit dit artikel volgen een aantal stadiums die een organisatie moet volgen om conform de AVG persoonsgegevens te kunnen bewaren:
De gebruiksfase. De periode dat de gegevens nodig zijn om het verwerkingsdoel te behalen. De gegevens worden op dat moment nog niet bewaard of gearchiveerd.
De archiveringsfase. Deze fase bevat de periode waarin persoonsgegevens op een later tijdstip nodig zijn of moeten worden bewaard. In deze fase worden de persoonsgegevens bewaard om administratieve redenen of wettelijke voorschriften.
De verwijderingsfase waarin u de persoonsgegevens niet meer nodig zijn. Als organisatie zorgt u ervoor dat de gegevens niet langer worden bewaart in de vorm van persoonsgegevens. In deze fase worden de gegevens gewist, vernietigd of geanonimiseerd.
Als organisatie mag u zelf bepalen wat de duur van een bewaartermijn zal zijn, tenzij er vanuit de wet een maximale bewaartermijn wordt opgelegd. Bij het bepalen van een bewaartermijn is het uitgangspunt dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk. Als organisatie zult u dus zelf moeten vaststellen wat in uw situatie geschikt is. De volgende vragen kunnen u op weg helpen om een termijn te stellen en de belangen van betrokkenen beter af te wegen: zijn er wettelijke termijnen waar u zich aan moet houden, hoe lang heeft u de gegevens nodig, en kunt u de bewaartermijn zo veel mogelijk aanscherpen door organisatorische of technologische systemen te verbeteren?
Daarnaast is het verstandig de bewaartermijn en onderbouwing vast te leggen in uw privacyverklaring, zodat u zich kunt verantwoorden als de Autoriteit Persoonsgegevens hier vragen over stelt.
Naast de AVG gelden er ook andere bewaartermijnen. Een organisatie mag alleen een beroep doen op de bewaartermijn uit de AVG als er geen andere wettelijke bewaartermijn geldt. Enkele voorbeelden van deze termijnen zijn:
Fiscale bewaarplicht: voor sommige gegevens geldt een fiscale bewaarplicht. Dit betekent dat een organisatie verplicht is gegevens voor een bepaalde periode te bewaren. Voorbeelden hiervan zijn kopieën van identiteitsbewijzen of loonbelastingverklaringen, die maximaal 5 jaar bewaard mogen worden na het einde van een dienstverband (vastgelegd in art. 7.5 lid 4 Uitvoeringsregeling loonbelasting 2011).
Werknemersgegevens: voor gegevens van werknemers zijn er een aantal specifieke bepalingen van toepassing. Fiscale gegevens zoals afspraken over salaris en arbeidsvoorwaarden, persoonsgegevens van werknemers (NAW en Burgerlijke staat) of verklaringen woon-werkverkeer mogen maximaal 7 jaar na het einde van een dienstverband bewaard worden (vastgelegd in artikel 52 lid 4 Wet Rijksbelasting).
Sollicitatiegegevens: als organisatie bent u verplicht om gegevens die gedurende de sollicitatie zijn verkregen binnen vier weken na het einde van de sollicitatieprocedure te verwijderen. Indien een sollicitant toestemming geeft om gegevens langer te bewaren, bijvoorbeeld omdat er mogelijk een passende functie vrijkomt, mag u een termijn hanteren van maximaal 1 jaar na beëindiging van de sollicitatieprocedure (artikel 5 lid 6 Vrijstellingsbesluit Wet bescherming persoonsgegevens).
Camerabeelden: volgens de AP mogen camerabeelden van openbare plaatsen maximaal 4 weken bewaard worden, tenzij er beelden zijn die een strafbaar incident hebben vastgesteld en die als bewijsmateriaal kunnen dienen in een strafprocedure. De bewaartermijn kan dan verlengd worden totdat het incident is afgehandeld (artikel 38 lid 6 Vrijstellingsbesluit Wet bescherming persoonsgegevens).
Let op: het Vrijstellingsbesluit WBP is vervallen per 25 mei 2018, maar is nog steeds te gebruiken als referentiekader om de bewaartermijn te bepalen.
Als overheidsorganisatie bent u verplicht om gegevens die u verwerkt te vernietigen zodra de organisatie deze gegevens niet meer nodig heeft. Echter, op grond van de Archiefwet mogen sommige belangrijke gegevens voor altijd bewaard worden.
Kortom, mag u afhankelijk van uw positie en type organisatie zelf een bewaartermijn vaststellen, tenzij er andere wettelijke bepalingen van toepassing zijn. In de volgende blog gaan we in op het recht op rectificatie AVG.