Welke bewaartermijn moet of mag ik aanhouden?

Onder de AVG gelden dezelfde regels voor het bewaren van persoonsgegevens als onder eerdere regelgeving. Het uitgangspunt blijft dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel van de verwerking. Hoe lang gegevens mogen worden bewaard, verschilt dus per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen:

• U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. U legt de bewaartermijn of de criteria vast in een bewaarbeleid;
• U neemt de bewaartermijnen ook op in uw register van verwerkingen;
• U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.

Indien u persoonsgegevens voor het algemeen belang bewaart, zoals voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden, dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking. Dat mag echter alleen als u technische en organisatorische maatregelen neemt om de privacy van de betrokkenen zo goed mogelijk te beschermen. Een voorbeeld van zo’n maatregel is dataminimalisatie. Dat betekent dat u zo min mogelijk persoonsgegevens verzamelt en verwerkt.