Hoe lang mag je persoonsgegevens bewaren volgens de GDPR?

Bewaartermijnen van persoonsgegevens vormen een heel belangrijk element binnen de GDPR. Het uitgangspunt is dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor het doel van de verwerking.

Deze bewaartermijnen dien je als verwerkingsverantwoordelijke op te nemen in jouw register van verwerkingsactiviteiten.

En je hebt ook de plicht om de betrokkenen te informeren over de bewaartermijnen van hun persoonsgegevens.

Hoe bepaal ik de bewaartemijnen van de persoonsgegevens?

Als onderneming en dus als verwerkingsverantwoordelijke dien je per verwerkingsactiviteit waarin persoonsgegevens worden verwerkt, vast te leggen hoe lang deze gegevens worden bewaard. Dit vormt het zogenaamde retentiebeleid.

Hoe lang de bewaartermijn precies is, dien je geval per geval te beoordelen en vast te leggen in functie van de verwerkingsactiviteit. Dit is een belangrijke oefening, die je ook verplicht om na te denken hoe je de gegevens zal verwijderen uit jouw systemen nadat de bewaartermijn is verstreken.

Goed om te weten is dat er geen verplichting is om een bewaartermijn uit te drukken in een specifiek aantal dagen, maanden of jaren. Een formulering dat bepaalde gegevens worden bewaard “gedurende de uitvoering van de overeenkomst” is ook geldig. Je kan ook een formule opnemen bijvoorbeeld “de gegevens worden bewaard tot 5 jaar na het laatste klantencontact”.

In eerste instantie zijn er wettelijke bewaartermijnen vastgelegd, onder andere voor gegevens met betrekking tot boekhoudkundige/fiscale verwerkingen (7 jaar) en ook voor de meeste sociale verwerkingen, zoals loonbeheer, het beheer van arbeidsovereenkomsten en dergelijke (5 jaar).

De bewaartermijn van camerabeelden kan maximaal één maand zijn, tenzij de beelden een bijdrage kunnen leveren tot het bewijzen van een misdrijf, van schade of van overlast, of tot het identificeren van een dader, een verstoorder van de openbare orde, een getuige of een slachtoffer.

De GDPR-richtlijn “niet langer dan noodzakelijk voor het doel van de verwerking” is uiteraard ook een hulp. Maar aangezien er geen eenduidige bewaartermijnen te geven zijn, moet je voor elke gegevensverwerking zoeken naar de kortst mogelijke retentieperiode. Belangrijk is ook een gegronde fundering te kunnen geven voor de bewaartermijnen. Redenen als “het zou weleens handig kunnen zijn voor ons” zullen niet lang standhouden bij een onderzoek van de Gegevensbeschermingsautoriteit.

Een middel om proportionele bewaartermijnen te bepalen is terug te gaan naar het doel van de verwerking en voor de betrokken persoonsgegevens de volgende vragen te beantwoorden:

  • Wanneer is het doel van de verwerking behaald ?
  • Kan ik de persoonsgegevens actueel, juist en volledig houden gedurende de bewaartermijn ? Want een andere GDPR-regel verplicht de verwerkingsverantwoordelijke om de persoonsgegevens die je verwerkt, steeds correct te houden. Het heeft geen zin om CV’s van sollicitanten 5 jaar bij te houden als je niet kan garanderen dat je deze gegevens juist kan houden gedurende deze periode.
  • Kan ik na de verwerking de persoonsgegevens vernietigen zonder dat dit de verwerking benadeelt ?
  • Kan ik de betrokkenen steeds toegang geven tot hun gegevens gedurende de bewaartermijn ?

De bewaartermijnen opnemen in het verwerkingsregister

Voor elke verwerking in het verwerkingsregister, dien je de bewaartermijn van de persoonsgegevens te vermelden, best samen met een duidelijke argumentatie. Dit geeft aan dat je nagedacht hebt bij het vastleggen van de termijnen.

De betrokkenen informeren

Conform de bepalingen van de GDPR moeten de betrokkenen worden ingelicht over de gebruikte bewaartermijnen. Dit gebeurt op zulk een manier dat de personen kunnen begrijpen hoe lang hun gegevens bewaard worden. Zo is het onvoldoende om in algemene bewoordingen de retentieperiodes te vermelden zoals “voor zolang als noodzakelijk voor de verwerkingsdoeleinden”.

In je privacy policy neem je de verschillende opslagtermijnen voor de verschillende categorieën van persoonsgegevens en/of verschillende verwerkingsdoeleinden op. Hiermee beantwoord je aan je GDPR-plicht.

Wat na de bewaartermijnen?

Vernietigen natuurlijk !

Bewaartermijnen vastleggen voor persoonsgegevens heeft alleen maar zin als die gegevens na de bewaartermijn verwijderd worden uit de systemen. In onze huidige omgevingen en digitale processen is, om het eufemistisch te zeggen, een uitdaging ! Onze systemen en processen zijn ingericht op bewaren, niet op verwijderen. Een Deense meubelfabrikant werd in oktober 2018 veroordeeld tot een boete van 200 000 € omdat zij onder andere geen bewaartermijnen hadden geïmplementeerd in hun ERP-software. De persoonsgegevens van ongeveer 800 000 klanten van de fabrikant bleven voor een onbeperkte tijd bewaard.

Bij het ontwerpen en installeren van verwerkingsprocessen is het dus heel belangrijk om van bij de aanvang goed na te denken op welke manier de persoonsgegevens zullen kunnen verwijderd worden.

Wil je de gegevens na de opslagperiode toch nog verder bewerken dan zal je hiervoor de toestemming moeten vragen.

Uitzondering

Ondernemingen die persoonsgegevens verwerken voor algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden mogen deze langer bewaren dan noodzakelijk is voor het oorspronkelijk verwerkingsdoeleinde. In voorkomend geval, moeten wel de passende technische en organisatorische maatregelen worden genomen om de privacy van de betrokken persoon te waarborgen. Voorbeelden zijn anonimisering, versleuteling,..

Rolf Vermeulen - Ubora

Rolf Vermeulen
Privacy-expert
+32 475 96 01 18