Bewaartermijnen van persoonsgegevens in uw bestanden 
 

Informatieblad nummer 11A, oktober 2007

Dit informatieblad is bestemd voor de verantwoordelijke, dat is degene die voor eigen doeleinden persoonsgegevens van anderen gebruikt.

Dit informatieblad gaat in op de volgende vragen:

De inhoud van een papieren of een digitaal dossier bevat veel informatie over een persoon. U weet als huisarts bijvoorbeeld welke medicijnen uw patiënten gebruikt. En als werkgever kunt u zien wanneer het salaris van uw werknemer voor de laatste keer verhoogd is. Om een goede administratie bij te kunnen houden, moet u bepaalde persoonsgegevens gedurende een zekere periode bewaren. Het is echter niet de bedoeling dat allerlei informatie zomaar bij u blijft liggen. Daarom is het belangrijk dat u die gegevens niet langer bewaart dan nodig is. In dit informatieblad kunt u lezen hoelang persoonsgegevens die in uw bestanden zijn opgenomen, bewaard mogen worden.

pdf documentlees het volledige informatieblad (64 KB)

Algemene regel
De Wet bescherming persoonsgegevens (Wbp) regelt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. U bepaalt aan de hand van het doel hoelang de gegevens bewaard moeten worden. Dit is een algemene regel waarvan de uitwerking per situatie kan verschillen. Het is niet altijd nodig om alle gegevens van een persoon te bewaren. Uw archiefkasten of uw harde schijf raken alleen maar vol. Het is dus ook nuttig om geregeld uw papieren en/of digitale dossiers te schonen. Als u van mening bent dat bepaalde gegevens niet meer nodig zijn en er is voor die gegevens geen wettelijke bewaartermijn dan kunt u ze gerust verwijderen.

Specifieke regels
De Wbp geeft dus geen concrete bewaartermijn voor persoonsgegevens. Persoonsgegevens vormen doorgaans onderdeel van documenten, dossiers of bestanden. In bijvoorbeeld de Archiefwet, het Burgerlijk Wetboek of de onderwijs- en belastingwetgeving zijn wel concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. Bij het bewaren van persoonsgegevens moet u daarom rekening houden met al deze wetgeving.

Bij de Archiefwet gaat het alleen om de ‘archiefbescheiden’ van de Nederlandse overheid en niet van het bedrijfsleven. De Archiefwet kent geen algemene bewaartermijn, maar schrijft voor dat elk overheidsorgaan over een selectielijst moet beschikken. Hierin staat welke stukken op termijn vernietigd moeten worden en welke voor altijd bewaard moeten blijven. Zie voor meer informatie over de Archiefwet de internetsite van de Rijksarchiefinspectie. Op deze site vindt u onder meer het artikel ‘Het bewaren en vernietigen van persoonsgegevens’. Dit artikel gaat in op de verhouding tussen Archiefwet en Wbp bij de selectie en de vernietiging van archiefbescheiden en van persoonsgegevens.

Een wettelijke bewaarplicht hoeft niet voor alle gegevens van een persoon te gelden. Volgens de belastingwetgeving dient u alleen de fiscaal relevante gegevens van uw werknemer gedurende 7 jaar na beëindiging van het dienstverband te bewaren. Wanneer u de andere persoonsgegevens uit datzelfde dossier niet meer nodig heeft en er geldt hiervoor geen specifieke wettelijke bewaarplicht, dan is de algemene regel van de Wbp van toepassing en moet u die gegevens zo spoedig mogelijk uit het dossier verwijderen.

Melden en vrijstellingen
Het gebruik van persoonsgegevens moet u melden bij het College bescherming persoonsgegevens (CBP), tenzij hiervoor een vrijstelling geldt. In het Vrijstellingsbesluit (VB) zijn veel situaties opgenomen die uitgezonderd zijn van deze meldingsplicht. Zie verder het informatieblad Melden en vrijstellingen. Het VB geeft een indicatie wat redelijke bewaartermijnen zijn voor bepaalde persoonsgegevens. Omdat het VB alleen iets zegt over de meldingsplicht kunt u de hierin genoemde bewaartermijnen slechts als richtlijn gebruiken bij de beoordeling hoelang u de persoonsgegevens mag bewaren. Voor de meeste administraties die in het VB zijn opgenomen, geldt een bewaartermijn van maximaal 2 jaar. In enkele gevallen is de bewaartermijn langer of korter.

Op het moment dat u bepaalde persoonsgegevens langer bewaart dan in het VB is aangegeven, dient u de gegevensverwerking doorgaans wel bij het CBP te melden. Als u echter door een wettelijke bewaarplicht bepaalde persoonsgegevens langer moet bewaren dan de termijn die in het VB is genoemd, kan een vrijstelling van de meldingsplicht toch mogelijk zijn. Voor gegevens van bijvoorbeeld abonnees staat in het VB een bewaartermijn van ten hoogste 2 jaar na beëindiging van het abonnement, tenzij de gegevens nog noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. Wanneer u als uitgever bepaalde gegevens van uw abonnees langer bewaart dan 2 jaar om te voldoen aan een wettelijke plicht, kunt u toch vrijstelling hebben.

Vernietiging of archiefbestemming
Als u de persoonsgegevens niet meer nodig heeft of de bewaartermijn is verlopen dan moet u de gegevens verwijderen. Verwijderen betekent niet dat u de gegevens altijd moet vernietigen. Het is al voldoende dat u de gegevens buiten het bereik van de actieve administratie brengt en in een archiefdepot of op een aparte schijf opslaat. Een organisatie mag persoonsgegevens in een archief bewaren als het bestemd is voor historische, statistische of wetenschappelijke doeleinden. Bij de overheid is de bewaring van archiefdocumenten of archiefbestanden voor enige tijd of voor altijd neergelegd in de selectielijsten ingevolge de Archiefwet. Het bedrijfsleven moet de bewaartermijn van de archiefdocumenten zelf vastleggen. Tenzij de Archiefwet of een andere wet van toepassing is, zijn aan de persoonsgegevens in een archief geen bewaartermijnen verbonden. Die gegevens moet u daarom verwijderen zodra zij hun belang voor de archiefbestemming hebben verloren. U kunt ook besluiten de gegevens te vernietigen in plaats van ze in een archief op te nemen.

Voor de wijze waarop u de gegevens moet vernietigen, is geen harde regel te geven. U moet zorgvuldig met de persoonsgegevens omgaan. Deze verantwoordelijkheid wordt groter naarmate de gevoeligheid van de gegevens groter is. Met het oog hierop is een oud-papierbak niet de juiste plaats om bijvoorbeeld medische gegevens in af te voeren. Een papierversnipperaar of een in papierafvoer gespecialiseerd bedrijf is dan een meer aangewezen weg. Voor digitaal opgeslagen gegevens zijn systemen ontwikkeld die automatisch gegevens vernietigen op een van tevoren aangegeven tijdstip. Als praktisch alternatief kunt u de gegevens na afloop van de bewaartermijn aan de betrokkene meegeven, zodat deze zelf verantwoordelijk wordt voor wat er met zijn gegevens gebeurt. Meer informatie over het vernietigen van gegevens vindt u in hoofdstuk 4.12 van de CBP-studie Beveiliging van persoonsgegevens.

Hieronder volgen bewaartermijnen van diverse soorten persoonsgegevens. De genoemde bewaartermijnen zijn indicaties. Een limitatieve opsomming is niet mogelijk omdat de bewaartermijn afhankelijk is van verschillende wetgeving.

Sollicitatiegegevens
In een sollicitatieprocedure vraagt u aan de sollicitant bepaalde informatie, zoals geboortedatum, opleidingsniveau en werkervaring. Deze gegevens kan een sollicitant u schriftelijk geven door middel van bijvoorbeeld een sollicitatiebrief of een curriculum vitae. Tijdens het sollicitatiegesprek kunt u aantekeningen maken van de antwoorden die de sollicitant geeft, het verloop van het gesprek en de indruk die u van de sollicitant krijgt. Ook een assessment en/of psychologisch onderzoek maken soms deel uit van de procedure.

Het is gebruikelijk dat u al deze gegevens verwijdert uiterlijk vier weken nadat de sollicitatieprocedure is beëindigd, met uitzondering van de gegevens van degene die u in dienst neemt. Wel kan een sollicitant u toestemming geven om zijn gegevens langer te bewaren, bijvoorbeeld omdat er op een later tijdstip een mogelijk passende functie beschikbaar komt. Een termijn van maximaal een jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

Personeelsgegevens
Als werkgever beschikt u over uiteenlopende informatie over uw werknemers die mogelijk is opgenomen in verschillende dossiers. Bijvoorbeeld een verslag van het functioneringsgesprek, wanneer en hoe vaak een werknemer afwezig is, zijn sofi-nummer en de hoogte van zijn salaris. Zie voor meer informatie over de inhoud van een personeelsdossier het informatieblad Personeelsdossiers. Op grond van diverse wetgeving bent u verplicht sommige gegevens uit een personeelsdossier voor een bepaalde periode te bewaren. Indien u bijvoorbeeld een overheidsorgaan bent, moet u rekening houden met de bewaartermijnen in de op grond van de Archiefwet vastgestelde vernietigings- of selectielijsten. Alleen op basis van zo’n lijst kunt u vaststellen of u personeelsgegevens mag vernietigen. In tegenstelling tot de Archiefwet is onder meer de belastingwetgeving wel van toepassing op alle werkgevers. Voor gegevens uit de salarisadministratie, die fiscaal van belang zijn, bestaat een bewaarplicht van 7 jaar na het einde van de dienstbetrekking. Daarnaast moet u loonbelastingverklaringen en een kopie van een identiteitsbewijs 5 jaar na het einde van de dienstbetrekking bewaren.

Voor sommige gegevens uit een personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens geldt over het algemeen een bewaartermijn van 2 jaar nadat het dienstverband is beëindigd. Mochten die gegevens echter in een eerdere fase al niet meer nodig zijn, dan moet u ze direct verwijderen. Enkele voorbeelden: verslagen van functionerings- en beoordelingsgesprekken, arbeidsovereenkomsten en wijzigingen hierin, correspondentie over benoeming, promotie, degradatie en ontslag, afspraken over werkzaamheden ten behoeve van de ondernemingraad, getuigschriften en administratieve verzuimgegevens. Meer informatie over de bewaartermijn van gegevens over de ziekte- en herstelmeldingen van uw medewerkers vindt u in hoofdstuk 8.2.5a van de CBP-studie De zieke werknemer en privacy. Regels voor de verwerking van persoonsgegevens van zieke werknemers.

U kunt gegevens van een (ex-)werknemer langer bewaren indien u een arbeidsconflict met hem heeft (gehad) of als er een rechtszaak loopt. Tevens mag u de gegevens langer bewaren als een (ex-)werknemer hiervoor toestemming heeft gegeven. Het is mogelijk dat u de gegevens van ex-medewerkers, die u nog moet bewaren, van het actieve bestand naar het passieve bestand verplaatst.

Medische gegevens
Als hulpverlener bewaart u medische gegevens van uw patiënt in een dossier. De bewaartermijn van deze patiëntendossiers wordt over het algemeen geregeld in de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Hierin staat dat u de gegevens gedurende 15 jaar moet bewaren. In het informatieblad Uw omgang met medische gegevens zijn de uitzonderingen op de algemene bewaartermijn van 15 jaar uitgebreid beschreven. De WGBO is niet van toepassing op medische gegevens die niet onder de geneeskundige behandelingsovereenkomst vallen. Denk bijvoorbeeld aan thuiszorg uitsluitend in het kader van verpleging en verzorging. Voor deze gegevens geldt de algemene regel van niet langer bewaren dan nodig is.

Politiegegevens
De politie beheert allerlei registers, elk met een eigen doel. Op registers die nodig zijn voor de uitoefening van de politietaak is de Wet politieregisters (Wpolr) van toepassing. Zo staan in het register Jeugd- en zedenzaken van de politie persoonsgegevens van minderjarigen die een strafbaar feit hebben gepleegd. Verder worden in dit register gegevens opgenomen van personen die verdacht worden of slachtoffer zijn van zedenmisdrijven. In het Opsporingsregister zitten gegevens van mensen die gezocht worden door politie en justitie en in het register Graffitibestrijding staan gegevens van mensen die verdacht worden van het aanbrengen van graffiti. De politie moet voor ieder register een privacyreglement hebben. In dit reglement wordt onder meer beschreven welk soort gegevens in het register kunnen worden opgenomen en hoe iemand zijn rechten kan uitoefenen. In het reglement staat ook wanneer de gegevens weer verwijderd moeten worden en wanneer verwijderde gegevens vernietigd moeten worden. De meeste politiekorpsen gebruiken voor het opstellen van hun reglementen de Modelreglementen politieregisters. De genoemde bewaartermijn kan per reglement verschillen en zelfs binnen één reglement zijn verschillende bewaartermijnen mogelijk. Raadpleeg voor het bepalen van de exacte bewaartermijn het betreffende modelreglement of het reglement bij de politie.

De politie voert ook registers die niet voor de uitoefening van de politietaak nodig zijn. Deze registers vallen niet onder de Wpolr maar onder de Wbp. Denk bijvoorbeeld aan de vreemdelingenregistratie, de wapenvergunningenregistratie en de horecavergunningenregistratie. Voor deze gegevens bestaat geen modelreglement en geldt de algemene regel van niet langer bewaren dan nodig is.

Leerlinggegevens
Een leerlingdossier bestaat onder meer uit informatie over de onderwijskundige en algemene begeleiding van de leerling zoals uitslagen van toetsresultaten en verslagen van gesprekken met ouders. Daarnaast zitten in een leerlingendossier administratieve gegevens zoals verzuim-, in- en uitschrijvingsgegevens en gegevens van leerlingen en hun ouders die nodig zijn voor het berekenen van het formatiebudget. In het algemeen geldt voor leerlinggegevens een bewaartermijn van 2 jaar nadat de leerling de school verlaten heeft. Er zijn echter bepalingen in de onderwijswet- en regelgeving die een langere termijn voorschrijven. Zo geldt bijvoorbeeld voor het primair en voortgezet onderwijs dat gegevens over absentie, in- en uitschrijving 5 jaar bewaard moeten blijven nadat de leerling is uitgeschreven. Ook de adviezen en beslissingen van de Permanente Commissie Leerlingenzorg zijn hiervan een voorbeeld. Deze gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen, moet een school 3 jaar bewaren, na het vertrek van de leerling. Ook kan de Archiefwet van toepassing zijn evenals het Examenbesluit. In het Examenbesluit staat onder meer dat het centraal examen, inclusief de cijferlijsten, tenminste 6 maanden bewaard moet worden. Adresgegevens van (oud)leerlingen mogen bewaard blijven voor het organiseren van reünies.

Camerabeelden
Op veel plaatsen wordt voor de veiligheid van klanten, personeelsleden en het toezicht op objecten gewaakt met videocamera’s. Voor camerabeelden op openbare plaatsen geldt een wettelijke bewaartermijn van 4 weken. Deze termijn is bestemd voor beelden die geen aanleiding geven tot nader onderzoek of specifiek opsporingsonderzoek. De bewaartermijn kan worden verlengd als beelden van strafbare feiten zijn vastgelegd die gebruikt kunnen worden als bewijsmateriaal in een strafprocedure.

Voor de overige camerabeelden geldt als richtsnoer een bewaartermijn van 24 uur. Indien in die periode geen incidenten hebben plaatsgevonden, is er geen reden om de gemaakte opnamen langer te bewaren. Deze zullen dan verwijderd moeten worden. Het komt voor dat een camera een bepaald incident vastlegt, bijvoorbeeld een winkeldiefstal. Die beelden mogen dan bewaard worden tot het geconstateerde incident is afgehandeld.

Indien u meer wilt weten over cameratoezicht dan kunt u daarover meer lezen in het themadossier Cameratoezicht.

Rechten van de betrokkene
Een betrokkene heeft recht op inzage in zijn persoonsgegevens. Naast het inzagerecht heeft hij het recht u om aanvulling, verbetering, verwijdering of afscherming van zijn persoonsgegevens te verzoeken. Ook kan hij verzet aantekenen tegen bepaalde vormen van gebruik van zijn gegevens. Informatie over het uitoefenen van deze rechten kunt u vinden in de informatiebladen Het geven van inzage in persoonsgegevens, Het bieden van correctie in persoonsgegevens en Het gebruik van klantgegevens bij direct marketing.

Als de betrokkene vragen of klachten heeft
De betrokkene moet met vragen of klachten altijd eerst naar u komen. Indien u er samen niet uitkomt, kan de betrokkene zijn vragen of klachten voorleggen aan het CBP. Informatie over bemiddeling door het CBP vindt u in het informatieblad Bemiddeling door het CBP inzake uw verwerkingen. Informatie over de klachtenbehandeling door het CBP vindt u in het informatieblad Klachtenbehandeling door het CBP.