Hoe lang mag uw organisatie eigenlijk persoonsgegevens bewaren? De les van Odido

Bewaartermijnen voor persoonsgegevens lijken soms een formaliteit, maar het nieuws over telecombedrijf Odido laat zien dat dit onderwerp nadelige gevolgen kan hebben indien organisaties persoonsgegevens niet conform de bewaartermijn bewaren. Odido blijkt persoonsgegevens van oud-klanten langer te bewaren dan zij zelf aangeeft in haar privacyverklaring. Dit kan risico’s opleveren onder de Algemene Verordening Gegevensbescherming (AVG), vooral indien er vervolgens sprake is van een datalek. Hoe zit het eigenlijk precies met bewaartermijnen en waar moet u als ondernemer op letten?

Welke (wettelijke) bewaartermijn geldt voor mijn organisatie? 

De AVG schrijft geen vaste bewaartermijnen voor, maar bevat wel een duidelijke hoofdregel: persoonsgegevens mogen in principe niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor deze persoonsgegevens zijn verzameld. Ondanks dat dit redelijk eenvoudig klinkt, gaat het in de praktijk nog vaak mis. Want wanneer zijn persoonsgegevens niet meer noodzakelijk?

Organisaties moeten daarom zelf bepalen hoelang gegevens nodig zijn en dit vastleggen in een bewaarbeleid of privacyverklaring. Daarbij geldt:

  • de bewaartermijn moet verdedigbaar zijn;
  • deze moet aansluiten bij het doel van de verwerking;
  • en organisaties moeten zich ook daadwerkelijk aan deze termijn houden.

Doet u dat niet, dan handelt u in strijd met de AVG.

Waarom bewaartermijnen zo belangrijk zijn

Het naleven van bewaartermijnen is geen administratieve verplichting, maar een essentieel onderdeel van gegevensbescherming. De AVG verlangt daarom dat organisaties actief gegevens verwijderen zodra deze niet meer nodig zijn. 

Het niet naleven van bewaartermijnen kan verstrekkende gevolgen hebben. In de eerste plaats loopt u het risico op handhaving door de Autoriteit Persoonsgegevens, die boetes kan opleggen wanneer blijkt dat persoonsgegevens onnodig lang worden bewaard. Daarnaast vergroot u de impact van een eventueel datalek aanzienlijk: hoe meer (en hoe oudere) data u bewaart, hoe groter de schade voor betrokkenen en uw organisatie. Ook kan het overschrijden van bewaartermijnen leiden tot aansprakelijkheidsrisico’s, bijvoorbeeld wanneer betrokkenen schade lijden door onrechtmatige verwerking van hun gegevens. Tot slot kan het reputatieschade veroorzaken. Klanten en relaties verwachten dat hun gegevens zorgvuldig worden behandeld. Het structureel te lang bewaren van gegevens kan dat vertrouwen ondermijnen. Kortom, hoe langer u gegevens bewaart: hoe groter het risico op datalekken, aansprakelijkheid en reputatieschade.

Praktische voorbeelden van bewaartermijnen

Voor ondernemers is het vaak lastig om te bepalen wat een “redelijke” bewaartermijn is. Enkele bekende voorbeelden uit de praktijk:

  • Sollicitatiegegevens: het is gebruikelijk dat gegevens van afgewezen sollicitanten doorgaans maximaal 4 weken worden bewaard, tenzij toestemming wordt gegeven voor een langere termijn (bijvoorbeeld 1 jaar);
  • Medische gegevens: zorgverleners zijn wettelijk verplicht medische dossiers in principe 20 jaar te bewaren. Dit is een uitzondering vanwege het belang voor de gezondheid van de patiënt en evt. diens nabestaanden;
  • Fiscale gegevens: op grond van fiscale wetgeving geldt vaak een bewaarplicht van 7 jaar.
  • Klantgegevens na einde contract: vaak bewaren bedrijven oud-klantgegevens voor marketingdoeleinden. Hiervoor bestaat geen wettelijk vastgestelde bewaartermijn. Leg een termijn vast in uw privacyverklaring en houdt u hieraan.

Houdt echter altijd de hoofdregel in het achterhoofd: bewaar persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze persoonsgegevens zijn verzameld. Zorg dus dat uw organisatie de gehanteerde bewaartermijn gedegen kan onderbouwen. 

Ongeluk zit in een klein hoekje

In de praktijk zien we regelmatig dat bewaartermijnen worden overschreden, bijvoorbeeld doordat:

  • systemen niet automatisch gegevens verwijderen;
  • oude databases blijven bestaan na migraties;
  • bewaartermijnen wel op papier staan, maar niet worden gecontroleerd; of
  • organisaties niet duidelijk weten wanneer een bewaartermijn precies begint te lopen.

De situatie bij Odido lijkt een voorbeeld waarin beleid en praktijk niet op elkaar aansluiten.

Tips voor uw organisatie t.a.v. bewaartermijnen

Het is verstandig om uw beleid rondom bewaartermijnen kritisch tegen het licht te houden. Denk daarbij bijvoorbeeld aan de volgende stappen:

  • In kaart brengen van gegevensstromen: zodoende krijgt u inzichtelijke welke verschillende persoonsgegevens uw organisatie bewaard en van wie;
  • Vaststellen bewaartermijnen per categorie: koppel elke categorie persoonsgegevens aan een concrete en goed te onderbouwen termijn. Leg deze bijv. vervolgens vast in uw privacyverklaring;
  • Zorg voor een geautomatiseerde wijze van gegevensverwijdering: handmatige opschoning is risicovol en vaak tijdrovend werk. Een systeem dat erop is ingericht om automatisch persoonsgegevens te verwijderen na afloop van de bewaartermijn is vaak waardevol. 

Vragen?

Wilt u weten of de bewaartermijnen van uw organisatie wettelijk gezien op orde zijn? Of heeft u te maken met een datalek of onderzoek van de Autoriteit Persoonsgegevens? Neem gerust contact met ons op. Wij denken graag met u mee en staan u graag bij.

Mirjam 1

Meer weten over dit onderwerp of een andere vraag?

meer over Mirjam Elferink mail Mirjam Elferink

Wij plaatsen functionele en analytische cookies. Eventueel kunnen derde partijen tracking cookies plaatsen. U dient daar dan eerst mee akkoord te gaan. Lees meer in onze Privacyverklaring