Hoe lang mag je bij een vacature bijvoorbeeld de sollicitatiegegevens van kandidaten bewaren, of camerabeelden? Wat zijn de regels rond het bewaren van camerabeelden en de gegevens over het internetgebruik van jouw medewerkers?
Hoe lang ben je verplicht bepaalde gegevens, zoals facturen en dergelijke, minimaal op te slaan? Wat zegt de strengere AVG erover die per 15 mei 2018 ingaat en ook voor je bedrijf gaat gelden?
Volgens de AVG, dat is ook al zo onder de Wet bescherming persoonsgegevens (WBP), mag je persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor je ze hebt verzameld. Daarna moet je de persoonsgegevens ook daadwerkelijk vernietigen.
Het gaat in het kader van de AVG altijd over persoonsgegevens. Persoonsgegevens zijn gegevens die, alleen of in combinatie met andere gegevens, terug te herleiden zijn naar een natuurlijk persoon. Voorbeelden van persoonsgegevens zijn onder andere naam, adres, woonplaats, kentekennummer, personeelsnummer, mailadres en videobeelden.
In de AVG zijn echter geen concrete termijnen opgenomen voor het bewaren van persoonsgegevens. In sommige gevallen schiet andere wetgeving je te hulp waarin specifieke bewaartermijnen zijn opgenomen. Dit kunnen maximale bewaartermijnen zijn, daarna dien je de gegevens te vernietigen, of minimale bewaartermijnen, waarbij je zelf een passende termijn moet bepalen voor het eventueel langer bewaren. Is er geen wetgeving dan dien je zelf beargumenteerd bewaartermijnen te bepalen.
Je dient voor het bewaren van persoonsgegevens aan de volgende vereisten te voldoen:
Er zijn binnen jouw organisatie diverse processen en activiteiten waarin verschillende categorieën van persoonsgegevens nodig zijn, de verwerkingsdoelen per proces verschillen en waarvoor ook andere bewaartermijnen kunnen gelden. Denk aan salarisafspraken, facturen en verzuimbeheer. Hieronder hebben we enkele processen in een tabel gezet die meestal voorkomen in organisaties, met daarbij opgenomen wat de bewaartermijnen zijn en op welke wetgeving dit gebaseerd is. De bewaartermijn gaat lopen na bijvoorbeeld het einde van een dienstverband, het einde van een boekjaar of het doen van een registratie. Overigens kan het soms zo zijn dat de genoemde termijn wordt overruled door een andere wettelijke bewaarplicht (meestal is dit dan fiscale wetgeving).
Tip:
Bepaal als organisatie zelf, beargumenteerd, bewaartermijnen voor de processen waarin dit niet wettelijk is bepaald.
Is de bewaartermijn van persoonsgegevens verstreken of zijn de gegevens niet meer noodzakelijk voor het doel? Dan moeten de gegevens vernietigd worden. Denk bijvoorbeeld aan gegevens over loonbeslag als het loonbeslag is opgeheven. Vernietiging moet gebeuren onder controle van jouw bedrijf. Vernietigen houdt in dat de gegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm. De AVG stelt geen extra vereisten aan het vernietigen van persoonsgegevens.
Tip:
Verwerkt jouw accountants- en advieskantoor gegevens voor jou, bijvoorbeeld de salarisadministratie? Dan is het van belang dat je accountant en jij goede afspraken maken over de bewaartermijnen van persoonsgegevens.
Meer informatie over de AVG? Bekijk dan onze speciale AVG-pagina of neem contact met ons op.
Als Omnyacc zijn we altijd in de buurt. Grote kans dat je ons zelfs bij jou om de hoek vindt, want wij werken met maar liefst 220 medewerkers vanuit acht kantoren in de regio. Bewust. Wij vinden het fijn als onze klanten ook zonder afspraak makkelijk bij ons binnen kunnen lopen. Onze klanten komen het meest uit de regio. Wel zo fijn! Je praat, toch letterlijk, dezelfde taal. Zit jij met een ondernemerskwestie en zoek je ondersteuning? Dan ben je bij ons aan het juiste adres. Wij durven te stellen dat we op praktisch alle ondernemersvragen antwoord kunnen geven. Zo kun jij maximaal focussen op ondernemen. Tot snel?