Ga direct naar de inhoud.

Hoe stelt u de bewaartermijnen vast?

Hoe lang kunt u personeelsgegevens bewaren?

Met de invoering van Algemene Verordening Gegevensbescherming (AVG) vraagt u zich misschien af welke bewaartermijnen gelden voor de gegevens van uw medewerkers. Met de komst van de AVG is er echter niets veranderd ten aanzien van de regels voor het bewaren van persoonsgegevens zoals onder de oude wet (de WBP) het geval was. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking. Maar hoe kunt u dit vertalen naar concrete bewaartermijnen? In onderstaand artikel geven wij u in dit kader hierover wat meer uitleg.

Wat kan NewBaze voor u betekenen op het gebied van gegevensbescherming?

Wilt u een goede balans tussen een gedegen privacybescherming en een up to date informatieverwerking voor uw organisatie? Dan kan NewBaze u ondersteunen bij:

  • het inventariseren van de specifieke verplichtingen van uw organisatie op grond van de AVG;
  • het inventariseren en vaststellen van de bewaartermijnen van privacygevoelige informatie;
  • het opstellen van een overzicht van verwerkingen;
  • het opstellen van een privacy protocol of een privacy statement, specifiek afgestemd op de activiteiten van uw organisatie;
  • het opstellen van verwerkersovereenkomsten.

Heeft u behoefte aan een dergelijke ondersteuning? Of heeft u meer vragen over de AVG? Neem dan vrijblijvend contact op met mr. Sandra Verberk-Elich op sandra.verberk@newbaze.nl of bel 078-200 13 14.

Hoe registreert u de bewaartermijnen conform de AVG?

De eerste stap die u moet nemen is om vast te stellen welke categorieën persoonsgegevens u van uw medewerkers heeft verzameld. Vervolgens bepaalt u hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn.

De bewaartermijnen moeten daarna opgenomen worden in uw register van verwerkingen. Ook moet u de betrokkenen (de personen van wie u gegevens verwerkt) informeren over de bewaartermijnen. Dit kan via een privacyprotocol (die in te zien is door uw medewerkers) of extern via een privacy statement op uw website.

Hoe bepaalt u de duur van de bewaartermijnen?

Wat de juiste termijn is voor het bewaren van gegevens van uw werknemers, verschilt per geval. Voor sommige gegevens is een minimale bewaartermijn opgenomen in specifieke wetten. Zo dient u bijvoorbeeld de gegevens voor uw loonadministratie minimaal 7 jaar te bewaren op grond van art. 52 lid 4 Algemene Wet inzake Rijksbelastingen en moet u tijdsregistratiegegevens minimaal 52 weken bewaren op grond van art. 3:2:1 van het Arbeidstijdenbesluit.

Als er geen wettelijk voorgeschreven termijn van toepassing is, staan in de AVG helaas geen concrete bewaartermijnen vermeld. De regel voor het bewaren van persoonsgegevens, die de AVG voorschrijft, is dat deze gegevens niet meer bewaard mogen worden als ze niet langer nodig zijn voor het doel, waarvoor de gegevens oorspronkelijk zijn verzameld.

Hetzelfde voorschrift voor het bewaren van persoonsgegevens was opgenomen in de oude wet, de Wet Bescherming Persoonsgegevens. Nu er aldus niets gewijzigd is in deze normstelling, zou er niets op tegen kunnen zijn om nog altijd aansluiting te zoeken bij het oude Vrijstellingsbesluit WBP. In dit vervallen besluit zijn wel concrete bewaartermijnen vermeld voor een aantal categorieën persoonsgegevens, die een werkgever normaliter moet verwerken ter uitvoering van de arbeidsovereenkomst. Deze bewaartermijnen vindt u terug in onze checklist, die kunt opvragen via het onderstaande webformulier.

Wat moet u doen na de bewaartermijn?

Na het einde van de bewaartermijn mogen in ieder geval geen gegevens meer worden bewaard, waardoor de persoon in kwestie kan worden geïdentificeerd. Normaal gesproken worden de gegevens dan zowel digitaal als op papier of op hard copy vernietigd. Maar ook kunt u ervoor kiezen om de gegevens te anonimiseren. Dan heeft u nog wel de gegevens voor analytische of statistische doeleinden, maar zijn deze niet meer te herleiden tot individuen.

Door het pseudonimiseren van de gegevens na de bewaartermijn houdt u zich niet aan de AVG. Met gepseudonimiseerde persoonsgegevens kunt u immers op ieder moment door het gebruik van sleutels of aanvullende gegevens deze gegevens alsnog koppelen aan een natuurlijke persoon.

Zijn persoonsgegevens bestemd voor historische, statistische of wetenschappelijke doeleinden? Dan mogen organisaties de persoonsgegevens in een archief bewaren. Daarvoor geldt geen specifieke bewaartermijn (enkele uitzonderingen voor overheidsinstellingen in de Archiefwet daargelaten). U hoeft de gegevens pas te vernietigen als ze niet meer nodig zijn voor het doel van het archief.

Heeft u nog vragen over bewaartermijnen?

Wilt u hulp bij het bepalen van de juiste bewaartermijnen? Of heeft u vragen over de AVG? Neem dan vrijblijvend contact met ons op via onderstaand contactformulier of bel ons op telefoonnummer 078-200 13 14. Wij helpen u graag verder.

Meer informatie

Met een advies van NewBaze over privacy:

  • Weet u welke afwegingen u dient te maken
  • Staan uw bedrijfsbelangen centraal
  • Krijgt u duidelijke uitleg
  • Krijgt u praktische oplossingen, die ook op de langere termijn werken
  • Worden vooraf heldere afspraken met u gemaakt over de kosten
×
NewBaze.nl maakt gebruik van cookies. Bij gebruik van onze website gaat u ermee akkoord dat we deze cookies plaatsen en daarmee gegevens verzamelen. Op deze manier krijgen we een goed beeld van u als bezoeker en kunnen we u een optimale gebruikerservaring bieden.
Lees meer over cookies