Een bewaartermijnenbeleid legt per gegevenscategorie vast hoe lang uw organisatie persoonsgegevens bewaart, op welke wettelijke of zakelijke grond, en hoe u ze daarna vernietigt. Het is de operationele uitwerking van het opslagbeperkingsbeginsel uit artikel 5 lid 1 sub e AVG: persoonsgegevens mag u niet langer bewaren dan noodzakelijk voor het doel. Hieronder vindt u een compleet bewaartermijnenbeleid-model met een schema per categorie, de Nederlandse wettelijke ankers en een vernietigingsprocedure.
Dit is geen uitleg van het principe — dat vindt u in de gids over bewaartermijnen onder de AVG — maar een kant-en-klaar beleidsmodel dat u kunt invullen en vaststellen.
Key Takeaways
- Het beleid vertaalt het noodzakelijkheidsbeginsel naar concrete termijnen per gegevenscategorie.
- Fiscale gegevens: 7 jaar bewaarplicht (art. 52 Algemene wet inzake rijksbelastingen); loonadministratie idem.
- Sollicitatiegegevens: 4 weken na afronding, of 1 jaar met toestemming van de sollicitant (AP-richtsnoer).
- Elke termijn moet een grondslag hebben: een wettelijke bewaarplicht of een aantoonbaar zakelijk doel.
- Vernietiging moet gedocumenteerd en aantoonbaar zijn — anders is er geen bewijs dat u het beleid uitvoert.
Structuur van een bewaartermijnenbeleid
Een werkbaar beleid bevat vier onderdelen: het bewaarschema, de grondslag per termijn, de vernietigingsprocedure en de verantwoordelijkheden. Het schema is de kern; de rest maakt het beleid uitvoerbaar en controleerbaar.
Koppel het schema aan uw verwerkingsregister: elke verwerking daarin heeft een bewaartermijn, en die termijn moet overeenkomen met dit beleid. De AP vraagt bij een controle als eerste het register op en toetst of de bewaartermijnen kloppen met de praktijk.
Model — bewaarschema per categorie
Onderstaand schema is een uitgangspunt. Pas de termijnen aan uw sector en verwerkingen aan; de wettelijke ankers gelden generiek voor Nederlandse organisaties.
| Gegevenscategorie | Bewaartermijn | Grondslag |
|---|---|---|
| Financiële/fiscale administratie | 7 jaar | Art. 52 AWR (bewaarplicht) |
| Loonadministratie | 7 jaar | Fiscale bewaarplicht |
| Personeelsdossier | 2 jaar na uitdiensttreding | Zakelijk / AP-richtsnoer |
| Sollicitatiegegevens | 4 weken (1 jaar met toestemming) | AP-richtsnoer |
| Klantgegevens (na laatste contact) | 2 jaar, tenzij lopende relatie | Zakelijk doel |
| Nieuwsbriefabonnee | Tot afmelding | Toestemming |
| Camerabeelden | Max 4 weken | AP-norm |
| Datalekregister | Zolang relevant (advies: min. 3 jaar) | Art. 33 lid 5 AVG |
Voor personeelsgegevens gelden aanvullende nuances; de gids over de AVG voor werkgevers behandelt de verzuim- en monitoringgegevens waarvoor strengere regels gelden.
De grondslag per termijn
Elke bewaartermijn moet u kunnen verantwoorden. Er zijn twee soorten grondslagen:
- Wettelijke bewaarplicht — bijvoorbeeld de fiscale bewaarplicht van 7 jaar. Deze termijn is dwingend; korter bewaren mag niet.
- Zakelijke noodzaak — bijvoorbeeld het bewaren van klantgegevens voor garantie of aansprakelijkheid. Hier bepaalt ú de termijn, maar u moet hem kunnen onderbouwen.
Ontbreekt een grondslag, dan geldt de hoofdregel: verwijderen. “Voor het geval dat” is geen grondslag. De AP behandelt het ontbreken van een gedocumenteerde termijn als een schending van art. 5 lid 1 sub e AVG.
Let op het verschil tussen een bewaarplicht en een bewaarmogelijkheid. De fiscale bewaarplicht van zeven jaar verplicht u de administratie te bewaren; die termijn is een ondergrens die u niet mag inkorten. Een zakelijke termijn daarentegen is een bovengrens: u mág gegevens bewaren zolang het doel dat rechtvaardigt, maar u móét ze verwijderen zodra dat doel is vervallen. Wie dit onderscheid niet maakt, bewaart al snel te lang “omdat het mag” — terwijl de wet juist verwijdering als uitgangspunt neemt zodra de noodzaak weg is. Formuleer elke regel in het beleid daarom expliciet als plicht of als maximum, zodat de uitvoerder weet of hij verplicht bewaart of verplicht wist.
De vernietigingsprocedure
Een termijn zonder uitvoering is waardeloos. Neem daarom een procedure op die beschrijft:
- Wanneer de opschoning plaatsvindt (bijvoorbeeld per kwartaal of automatisch bij het verstrijken van de termijn);
- Hoe wordt vernietigd (definitief wissen, of veilig anonimiseren zodat de gegevens buiten de AVG vallen);
- Wie verantwoordelijk is per systeem;
- Hoe de vernietiging wordt vastgelegd (logboek).
Vergeet back-ups en logbestanden niet. Gegevens die u uit de productieomgeving verwijdert maar in back-ups laat staan, blijven persoonsgegevens. Werk daarom met een back-uprotatie: gegevens verdwijnen dan vanzelf uit de back-ups zodra de oudste set wordt overschreven. Documenteer die rotatietermijn, zodat u kunt uitleggen dat een verwijderd gegeven binnen een afzienbare, vastgelegde periode ook uit uw reservekopieën verdwijnt.
Verantwoordelijkheden en governance
Een beleid zonder eigenaren blijft papier. Wijs per gegevenscategorie een verantwoordelijke aan die bewaakt dat de termijn wordt nageleefd — meestal de proceseigenaar, niet de IT-afdeling. IT voert de technische verwijdering uit, maar de inhoudelijke afweging (mogen deze gegevens weg?) hoort bij degene die het proces bestuurt.
Leg ook vast wie het beleid periodiek herziet. Wet- en regelgeving verandert, nieuwe verwerkingen komen erbij, en termijnen die vijf jaar geleden logisch waren, kunnen nu te lang zijn. Een jaarlijkse review, gekoppeld aan de actualisatie van het verwerkingsregister, houdt het beleid actueel. De functionaris voor gegevensbescherming is bij organisaties die er een hebben de aangewezen bewaker van deze cyclus.
Bewaren versus anonimiseren
Aan het einde van een bewaartermijn heeft u twee opties: definitief vernietigen of anonimiseren. Bij anonimiseren bewerkt u de gegevens zo dat herleiding naar een persoon redelijkerwijs onmogelijk is; het resultaat valt buiten de AVG en mag u onbeperkt bewaren voor bijvoorbeeld statistiek. Let op: pseudonimiseren is géén anonimiseren — pseudonieme gegevens blijven persoonsgegevens en vallen dus nog onder uw bewaartermijnen.
Kies bewust. Voor analyse en trends is anonimiseren aantrekkelijk omdat u de waarde van de data behoudt zonder de bewaarrisico’s. Voor gegevens die geen enkel doel meer dienen, is definitieve vernietiging eenvoudiger en beter uitlegbaar. Beschrijf in het beleid per categorie welke route u kiest, zodat de uitvoering niet aan toeval wordt overgelaten.
Hoe Legiscope hierbij helpt
Een bewaarschema in een los Excel-bestand veroudert snel: nieuwe verwerkingen komen erbij, termijnen wijzigen, en niemand controleert of de praktijk het beleid volgt. Legiscope koppelt de bewaartermijn aan elke verwerking in het register en signaleert wanneer een termijn ontbreekt of verstrijkt, zodat het beleid een levend document blijft.
FAQ
Hoe lang mag ik persoonsgegevens bewaren onder de AVG?
Er is geen universele termijn. Artikel 5 lid 1 sub e AVG bepaalt dat u gegevens niet langer bewaart dan noodzakelijk voor het doel. Voor sommige categorieën geldt een wettelijke bewaarplicht (fiscaal: 7 jaar); voor de rest bepaalt u de termijn op basis van een aantoonbaar zakelijk doel.
Wat is de bewaartermijn voor sollicitatiegegevens?
De AP hanteert als richtsnoer 4 weken na afronding van de procedure. Met toestemming van de sollicitant — bijvoorbeeld voor een toekomstige vacature — mag u de gegevens tot 1 jaar bewaren.
Moet ik camerabeelden na 4 weken verwijderen?
Ja, als hoofdregel. De AP hanteert een norm van maximaal 4 weken voor camerabeelden. Langer bewaren mag alleen als er een concreet incident is vastgelegd dat u nog nodig heeft, bijvoorbeeld voor aangifte of een schadeclaim.
Wat gebeurt er als ik geen bewaartermijnenbeleid heb?
De AP behandelt het ontbreken van gedocumenteerde bewaartermijnen als een schending van het opslagbeperkingsbeginsel. Bij een AP-controle is het bewaarschema een van de eerste documenten die worden opgevraagd; ontbreekt het, dan is dat een direct handhavingsrisico. Bovendien vergroot ongelimiteerd bewaren de schade bij een datalek: hoe meer verouderde gegevens u nog onder u heeft, hoe groter het aantal betrokkenen dat bij een incident geraakt wordt. Een strak bewaarbeleid is dus niet alleen een nalevingskwestie maar ook een concrete beperking van uw risico.
Bronnen: de AVG-tekst op EUR-Lex en de richtsnoeren over bewaren van de Autoriteit Persoonsgegevens.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial