Hoe lang mag u persoonsgegevens bewaren?
Onder de AVG gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.
Hoe lang u gegevens mag bewaren verschilt per geval. De inhoud van een digitaal of papieren dossier bevat veel informatie over een persoon. De huisarts weet bijvoorbeeld welke medicijnen zijn patiënt gebruikt. En de werkgever kan zien wanneer het salaris van een werknemer voor de laatste keer is verhoogd. Om een goede administratie bij te kunnen houden, moet een organisatie bepaalde persoonsgegevens een tijd bewaren. Maar organisaties mogen die gegevens niet langer bewaren dan noodzakelijk is.
Er is op grond van de Algemene verordening gegevensbescherming (AVG) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld op grond van belastingwetgeving. Een overzicht van minimale bewaartermijnen en in welke wet deze is vastgelegd vindt u in de doe-het-zelf tool van AVG online.
Vernietigen of archiveren
Is de bewaartermijn van persoonsgegevens voorbij of zijn de gegevens niet meer noodzakelijk? Dan moeten organisaties de gegevens vernietigen. Zijn persoonsgegevens bestemd voor historische, statistische of wetenschappelijke doeleinden? Dan mogen organisaties de persoonsgegevens in een archief bewaren. Voor persoonsgegevens in een archief geldt geen bewaartermijn. Op deze regel bestaat een uitzondering: als de Archiefwet of een andere wet van toepassing is, geldt wel een bewaartermijn. De organisatie moet de gegevens vernietigen als ze niet meer nodig zijn voor het doel van het archief.