Bewaartermijn bepalen

Hoe bepaal je de bewaartermijn van gegevens?

Het spreekt voor zich dat als er een wettelijke bewaartermijn voor bepaalde gegevens is bepaald, je deze termijn ook moet hanteren. Zo schrijft de wet voor een personeelsdossier een andere termijn voor dan voor een medisch dossier of voor een ledenadministratie. Welke wet van toepassing is hangt af van het soort gegevens waar het om gaat.

Bij het ontbreken van een wettelijke bewaartermijn moet de verwerkingsverantwoordelijke zelf de bewaartermijn bepalen. Een paar zaken om over na te denken (helaas geen uitputtend lijstje):

  1. Heb je een grondslag om de gegevens te verwerken?
  2. Voor welk doel verwerk/bewaar je de gegevens?
  3. Hoe lang heb je de gegevens nog nodig? Gegevens mogen niet langer verwerkt worden dan noodzakelijk.
  4. Welke gegevens heb je nodig? Zijn statistische gegevens voldoende?

Zijn er bepaalde gegevens die je niet (meer) nodig hebt, dan moet je ze verwijderen.

Archiefwet

Overheidsorganisaties die onder de archiefwet vallen (overheidsorganisaties + bijvoorbeeld universitair medische centra) hebben nog rekening te houden met het volgende:

  1. De basisselectielijst. Dit is een lijst die een organisatie (de Archiefwet spreekt van zorgdrager) maakt om aan te geven welke informatie bewaard moet blijven en wanneer informatie vernietigd moet worden. Vindplaatsen: het nationaal archief en de handelingenbank.
  2. Hotspots. Dit is een gebeurtenis waarvan meteen al bekend is dat dit tot in lengte van jaren bewaard moet blijven. Denk bijvoorbeeld aan de gegevensverwerkingen rondom de MH17.

Tip

Beschrijf en beargumenteer de gehanteerde bewaartermijn in je verwerkingenoverzicht en laat zien dat je erover nagedacht hebt.