Persoonsgegevens bewaren: hoe lang mag en moet het?
Eén van de minder bekende maar belangrijke eisen van de AVG is dat je persoonsgegevens niet langer mag bewaren dan nodig. In de praktijk doen veel bedrijven juist het tegenovergestelde: ze bewaren alles, voor altijd, omdat weggooien eng voelt en opslag goedkoop is. Maar dat is onder de AVG niet de bedoeling, en het brengt ook risico's met zich mee: hoe meer gegevens je bewaart, hoe meer er kan lekken. Tegelijk gelden er voor sommige gegevens juist wettelijke bewaarplichten. Die spanning maakt bewaartermijnen een onderwerp dat aandacht verdient.
In dit artikel lees je het principe achter bewaartermijnen, hoe je bepaalt hoe lang je gegevens mag en moet bewaren, en hoe je omgaat met de spanning tussen "niet langer dan nodig" en wettelijke bewaarplichten. Belangrijk vooraf: dit artikel geeft algemene uitleg, geen juridisch advies. De precieze termijnen voor jouw situatie hangen af van het soort gegevens en geldende regels; raadpleeg bij twijfel een deskundige of de officiële bronnen.
Het principe: niet langer dan nodig
De AVG kent geen vaste lijst met "bewaar dit zo lang". In plaats daarvan geldt een principe: je bewaart persoonsgegevens niet langer dan nodig is voor het doel waarvoor je ze hebt. Zodra je een gegeven niet meer nodig hebt voor het doel waarvoor je het verzamelde, hoor je het te verwijderen of te anonimiseren.
Dat principe vraagt dus om nadenken per soort gegeven: waarvoor heb ik dit, en hoe lang heb ik het daarvoor nodig? De gegevens van een klant heb je nodig zolang de klantrelatie loopt en een redelijke tijd daarna; de gegevens van een sollicitant die je niet aanneemt, heb je daarna meestal niet lang meer nodig. Het "nodig" is gekoppeld aan het doel, en het doel bepaalt de termijn.
De andere kant: wettelijke bewaarplichten
Hier ontstaat de spanning. Want naast het AVG-principe van "niet langer dan nodig" gelden er voor bepaalde gegevens juist wettelijke bewaarplichten: regels die zeggen dat je iets een minimale periode móét bewaren. De bekendste is de fiscale bewaarplicht voor je administratie, maar er zijn meer voorbeelden.
Dit betekent dat je twee kanten moet afwegen. Sommige gegevens moet je een bepaalde tijd bewaren vanwege een wettelijke plicht, en mag je dus niet eerder weggooien. Andere gegevens, of dezelfde gegevens na afloop van die plicht, mag je niet langer bewaren dan nodig. De kunst is om beide te respecteren: bewaren wat moet, zo lang als moet, en de rest niet langer dan nodig.
In de praktijk betekent dit dat je per soort gegeven kijkt of er een wettelijke bewaarplicht geldt (dan is dat je minimum), en daarnaast bepaalt hoe lang je het redelijkerwijs nodig hebt (dat begrenst je maximum). Waar geen wettelijke plicht geldt, ben je vrijer, maar bindt het AVG-principe je aan "niet langer dan nodig".
Hoe je bewaartermijnen bepaalt
Een werkbare aanpak om hier grip op te krijgen:
Breng je soorten gegevens in kaart. Welke categorieën persoonsgegevens heb je, en waarvoor? Dit overzicht, dat je voor de hele AVG nodig hebt, is ook hier het startpunt.
Bepaal per categorie het doel en de behoefte. Hoe lang heb je dit soort gegevens nodig voor het doel waarvoor je het hebt? Dat bepaalt je maximumtermijn vanuit de AVG.
Controleer op wettelijke bewaarplichten. Geldt er voor dit soort gegevens een wettelijke minimumbewaartermijn? Dan is dat je ondergrens.
Leg de termijnen vast. Noteer per categorie hoe lang je bewaart en waarom. Dit helpt je consequent te zijn en je keuzes te onderbouwen, en het hoort in je privacyverklaring thuis.
Ruim periodiek op. Bewaartermijnen hebben alleen zin als je er ook naar handelt. Verwijder of anonimiseer periodiek de gegevens waarvan de termijn is verstreken. Dit verkleint meteen je risico bij een eventueel datalek.
Waarom minder bewaren ook veiliger is
Een vaak vergeten voordeel van goede bewaartermijnen: hoe minder gegevens je bewaart, hoe minder er kan misgaan. Gegevens die je niet meer hebt, kunnen niet lekken, niet gestolen worden, en niet in verkeerde handen vallen. Het netjes opruimen van gegevens die je niet meer nodig hebt, is daarmee niet alleen een AVG-verplichting maar ook een beveiligingsmaatregel.
Dat maakt het wegwerken van de "we bewaren alles voor altijd"-gewoonte dubbel waardevol: je voldoet aan de AVG én je verkleint je risico bij een datalek. Het voelt misschien tegennatuurlijk om gegevens weg te gooien, maar bij persoonsgegevens is minder bewaren vaak veiliger en beter.
Veelgestelde vragen
Hoe lang mag ik persoonsgegevens bewaren?
De AVG kent geen vaste termijnen, maar een principe: niet langer dan nodig voor het doel waarvoor je de gegevens hebt. Zodra je een gegeven niet meer nodig hebt voor dat doel, hoor je het te verwijderen of te anonimiseren. Hoe lang dat is, verschilt per soort gegeven en per doel. Daarnaast kunnen er voor bepaalde gegevens wettelijke bewaarplichten gelden die een minimumtermijn voorschrijven.
Moet ik sommige gegevens juist verplicht bewaren?
Ja. Naast het AVG-principe van "niet langer dan nodig" gelden er voor bepaalde gegevens wettelijke bewaarplichten, zoals de fiscale bewaarplicht voor je administratie. Die schrijven een minimale periode voor waarin je iets moet bewaren. De kunst is beide te respecteren: bewaren wat en zo lang als wettelijk moet, en de rest niet langer dan nodig. Controleer per soort gegeven of er een bewaarplicht geldt.
Wat doe ik bij de spanning tussen weggooien en bewaren?
Kijk per soort gegeven naar beide kanten. Geldt er een wettelijke bewaarplicht, dan is dat je minimum en mag je niet eerder weggooien. Daarnaast bepaal je hoe lang je het redelijkerwijs nodig hebt voor het doel, en dat begrenst hoe lang je het maximaal bewaart. Waar geen wettelijke plicht geldt, bindt het AVG-principe je aan "niet langer dan nodig". Leg je keuzes vast zodat je consequent en onderbouwd handelt.
Is het erg om gegevens te lang te bewaren?
Het is in strijd met het AVG-principe, en het brengt extra risico mee: hoe meer gegevens je bewaart, hoe meer er kan lekken of in verkeerde handen vallen bij een datalek. Gegevens die je niet meer hebt, kunnen niet misbruikt worden. Het netjes opruimen van gegevens waarvan de bewaartermijn is verstreken is daarom niet alleen een verplichting, maar ook een verstandige beveiligingsmaatregel die je risico verkleint.
Is dit juridisch advies?
Nee. Dit artikel geeft algemene uitleg over het principe achter bewaartermijnen en hoe je ermee omgaat, geen juridisch advies. De precieze termijnen voor jouw situatie hangen af van het soort gegevens en de geldende wettelijke regels, die kunnen veranderen. Raadpleeg bij twijfel een deskundige of de officiële bronnen, en baseer concrete keuzes over bewaren en verwijderen op actuele, betrouwbare informatie.
---