AVG: Hoe lang mag u persoonsgegevens bewaren?

Voor veel bedrijven is de nieuwe privacywetgeving (AVG) nog steeds abracadabra. De Autoriteit Persoonsgegevens is de campagne “Wat betekent de privacywet voor jouw bedrijf?” gestart nu zij nog steeds veelvuldig vragen ontvangt over de AVG. Een van de steeds terugkerende vragen ziet op de bewaartermijnen in de AVG. Hoe lang mogen bedrijven persoonsgegevens bewaren? In dit blog staat deze vraag centraal.

Uitgangspunt op basis van de AVG

Het uitgangspunt blijft net als bij de Wet bescherming persoonsgegevens (Wbp) dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel van de verwerking. Concrete bewaartermijnen benoemt de AVG niet. U mag dan ook zelf de duur van de bewaartermijn bepalen. Ondanks dat de AVG geen concrete bewaartermijnen noemt, zijn die er in veel gevallen wel. Deze termijnen zijn bijvoorbeeld gebaseerd op een onderdeel uit het vrijstellingsbesluit van de Wbp of andere wetgeving.

Overzicht van concrete termijnen

Er zijn tal van documenten met persoonsgegevens waarvoor concrete bewaartermijnen zijn vastgesteld. Zo gelden voor de volgende documenten met persoonsgegevens de volgende bewaartermijnen:

  • Facturen en financiële administratie: Op grond van de Algemene Wet Rijksbelasting (AWR) geldt voor dergelijke documenten een bewaartermijn van 7 jaar.
  • Loonbelastingverklaringen en kopie paspoort: Op grond van artikel 66 lid 4 van de Uitvoeringsregeling Loonbelasting geldt voor deze documenten een bewaartermijn van 5 jaar.
  • Personeelsgegevens: Op grond van artikel 7 lid 5 van het Vrijstellingsbesluit Wbp mogen personeelsgegevens tot 2 jaar nadat het dienstverband of de werkzaamheden zijn beëindigd, worden bewaard, tenzij deze gegevens noodzakelijk zijn om te voldoen aan een wettelijke bewaarplicht.
  • Sollicitatiegegevens: Op grond van artikel 5 lid 6 van het Vrijstellingsbesluit Wbp mogen sollicitatiegegevens tot 4 weken nadat de sollicitatieprocedure is geëindigd, worden bewaard.

Goed om hierbij te benoemen is dat Het Vrijstellingsbesluit Wbp per 25 mei 2018 is komen te vervallen. Echter biedt het Vrijstellingsbesluit Wbp nog wel een referentiekader op basis waarvan de bewaartermijnen kunnen worden vastgesteld onder de AVG. Hierbij moet men wel bedacht zijn dat de toepasselijke wettelijke bewaartermijnen prevaleren boven de genoemde bewaartermijnen in dit besluit.

Waarom is het vaststellen van bewaartermijnen belangrijk?

Onder de AVG kan het te lang bewaren van persoonsgegevens worden beboet. De boetes voor overtreding van de AVG zijn bovendien niet mals: 4% van de jaarlijkse wereldwijde omzet of € 20 miljoen. Bewaar dus de persoonsgegevens niet langer dan noodzakelijk!

Vragen?

Heeft u vragen over de (wettelijke) bewaartermijnen of de AVG? Neem dan contact op met Sheevani Bharatsingh (030-2516424 en sbharatsingh@vanodijk.nl).