Bewaartermijn

Een bewaartermijn is de periode waarin je persoonsgegevens mag bijhouden. De GDPR legt geen vaste termijnen op, maar het beginsel van opslagbeperking verbiedt gegevens langer te bewaren dan nodig voor het doel. Eens het doel bereikt is, moet je de gegevens wissen of anonimiseren.

Zo bepaal je een termijn

1. Koppel elke gegevenssoort aan een concreet doel.
2. Bepaal hoelang dat doel duurt.
3. Hou rekening met wettelijke termijnen.
4. Leg de termijn of het criterium vast en documenteer het.
5. Wis of anonimiseer de gegevens zodra de termijn verstrijkt.

Belgische wettelijke termijnen

• Boekhoudkundige bewaarplicht: facturen en boekhoudkundige stukken zeven jaar.
• Sociale documenten en personeelsgegevens: termijnen volgens de sociale wetgeving.
• Gegevens nodig voor een mogelijke rechtsvordering: tot het einde van de verjaringstermijn.

In je privacybeleid

Vermeld de concrete termijnen of, als die niet vooraf vaststaan, de criteria om ze te bepalen. Schrijf bijvoorbeeld dat klantgegevens zeven jaar bewaard blijven om aan de fiscale verplichtingen te voldoen, en dat nieuwsbriefgegevens bewaard blijven tot iemand zich uitschrijft.

Praktijktip: plan een periodieke opschoning in, zodat verouderde gegevens niet eindeloos blijven staan. Minder data betekent minder risico bij een datalek.

Hoe bepaal je een bewaartermijn?

De GDPR kent geen vaste termijnen, maar je mag gegevens niet langer bewaren dan nodig. Zo stel je termijnen vast.

1. Bepaal het doel per gegevenssoort. Stel vast waarvoor je elk soort gegevens nodig hebt en hoe lang dat doel duurt.
2. Check wettelijke termijnen. Houd rekening met verplichte termijnen, zoals de boekhoudkundige bewaarplicht van zeven jaar voor facturen.
3. Stel een termijn vast en leg die vast. Kies per soort gegevens een concrete bewaartermijn en documenteer die.
4. Verwijder of anonimiseer na afloop. Wis of anonimiseer gegevens zodra de termijn is verstreken, en beschrijf de termijnen in je privacyverklaring.