Een bewaartermijn is de periode waarin je als organisatie persoonsgegevens mag bewaren. Denk aan klantgegevens, personeelsdossiers, sollicitaties of contactgegevens van websitebezoekers. De AVG geeft geen standaard bewaartermijn voor alle gegevens. In plaats daarvan bepaal je als organisatie zelf hoe lang je gegevens bewaart. Daarbij geldt één belangrijke regel: je bewaart persoonsgegevens niet langer dan nodig voor een duidelijk doel.
Je mag persoonsgegevens bewaren zolang je een duidelijk en gerechtvaardigd doel hebt. Dat doel leg je vast op het moment dat je de gegevens verzamelt. Bovendien moet het doel tijdens de hele bewaartermijn relevant blijven. Is het doel bereikt? Dan moet je de gegevens verwijderen of anonimiseren, tenzij er een andere reden is om ze langer te bewaren.
Naast de AVG kunnen wettelijke bewaarplichten gelden. Daarom verschilt de bewaartermijn per soort gegevens. Financiële administratie kan bijvoorbeeld langer bewaard moeten worden dan een sollicitatie of een contactaanvraag. Het is belangrijk dat je per type gegevens vastlegt welke bewaartermijn je hanteert en waarom. Als je data te lang bewaart, loop je privacy- en beveiligingsrisico’s. Verwijder je data te vroeg terwijl je een bewaarplicht hebt, dan kun je problemen krijgen bij controles, audits of geschillen.
Een goede basis is een bewaarbeleid waarin je vastlegt:
Dit beleid werkt het best als je het koppelt aan processen, zoals onboarding, facturatie, klantcontact en offboarding. Zo voorkom je dat gegevens “per ongeluk” blijven staan in losse systemen of exports.
Een bewaartermijn is niet alleen een AVG-verplichting, maar ook een manier om risico’s te verkleinen. Hoe langer je persoonsgegevens bewaart, hoe groter de kans dat die data ooit betrokken raakt bij een incident, zoals een datalek of ransomware. Door gegevens op tijd te verwijderen, beperk je de hoeveelheid data die kan uitle
Vragen? Bel gerust naar 0348 796 146
