U bent hier

3.1 Wat is een bewaartermijn?

Dit artikel is eerder verschenen als Themadossier Salaris Rendement
Publicatiedatum: april 2020

bewaartermijn

oneindig

Een bewaartermijn schrijft de periode voor die een bepaald soort document bewaard moet of mag blijven. Veel documenten in uw administratie hebben een bewaartermijn. Soms zijn bewaartermijnen wettelijk verplicht, maar dit is niet altijd het geval. Dit betekent niet dat u documenten waarbij geen bewaartermijn is vastgesteld oneindig mag bewaren. Als er voor een document geen bewaartermijn geldt, moet uw organisatie alsnog een beleid opstellen waarin staat hoe lang bepaalde documenten worden bewaard.

3.1.1 Wat is het startschot?

jaarrekening

Archiveren begint bij het passieve deel van de levensloop van uw gegevens: met de wettelijke bewaartermijn (zie hoofdstuk 2). Het moment waarop een bewaartermijn begint, verschilt per soort document. Zo begint de bewaartermijn van een jaarrekening gelijk na de opstelling van het document. Bij sollicitatiebrieven begint de bewaartermijn na het beëindigen van de sollicitatieprocedure en dus niet na de ontvangst van de sollicitatiebrief.

3.1.2 Wettelijk vastgestelde bewaartermijnen

passieve ­gegevens

verwijderen

U bent op grond van het Nederlandse retentierecht verplicht om passieve gegevens voor een bepaalde periode te bewaren. Zo moet u bepaalde fiscale gegevens minimaal zeven jaar bewaren. De Belastingdienst wil uw gegevens namelijk gedurende zeven jaar kunnen inzien (zie paragraaf 3.2.1).

Privacybescherming

persoons­gegevens

Zodra de bewaartermijn termijn is verstreken, bent u verplicht om de gegevens definitief te verwijderen. Maximale bewaartermijnen zijn vaak van toepassing op documenten die persoonsgegevens bevatten. Het vastleggen van wanneer persoonsgegevens worden vernietigd, draagt bij aan de bescherming van de privacy van de persoon van wie de gegevens zijn verwerkt.

Gegevens van een sollicitant. Hoelang bewaren?

Een voorbeeld van een maximale bewaartermijn is die van cv’s van afgewezen sollicitanten. Na het beëindigen van de sollicitatieprocedure mag u deze maximaal vier weken bewaren. Hierop bestaat wel een uitzondering.

Toestemming

expliciet 
vragen

U mag alleen met uitdrukkelijke toestemming van de kandidaat − die u verkrijgt door deze expliciet te vragen − zijn gegevens bewaren tot één jaar na het beëindigen van de sollicitatieprocedure. Daarna moet u de sollicitatiebrief en het cv door de papierversnipperaar halen!

3.1.3 Sancties

strafrechtelijke vervolging

AVG

Houdt u zich niet aan de maximale bewaartermijnen, dan riskeert u verschillende sancties:

  • overtredingen op boekhoudkundige wetgeving (wettelijke boeken, verantwoordingsstukken en interne documenten) kunnen leiden tot een strafrechtelijke vervolging;
  • overtredingen op fiscale wetgeving (zoals facturen en de loonadministratie) kunnen zowel administratief als strafrechtelijk worden vervolgd;
  • overtredingen op de Algemene verordening gegevensbescherming (AVG) kunnen administratieve sancties tot gevolg hebben. Met de AVG pakt de Europese Unie organisaties die slordig omgaan met de privacy van onder meer klanten en werknemers hard aan.

Op rendement.nl/salarisdossier ziet u per vergrijp de sancties die de Belastingdienst kan opleggen.

Eerste miljoenen AVG-boete opgelegd

privacyregels

beveiliging

Niet alleen in Nederland maar ook in andere EU-landen word er streng gecontroleerd op de naleving van de privacyregels. Zo legde de Franse gegevensbeschermingsautoriteit CNIL in 2019 een boete van € 400.000 op aan een vastgoedbedrijf. Dit bedrijf had de beveiliging niet genoeg gewaarborgd. Ook had het in een actieve database de persoonsgegevens van aanvragers veel langer bijgehouden dan de periode die nodig was om het doel van de verwerking te bereiken, namelijk de toewijzing van huisvesting.

database

Ook het Duitse vastgoedbedrijf Deutsche Wohnen kreeg onlangs een boete van € 14,5 miljoen opgelegd. Het bedrijf beschikte namelijk niet over een goed schema en beleid voor het bewaren van (persoons)gegevens. Zelfs na een tweede controle door de Duitse gegevensbeschermingsautoriteit kon het nog steeds niet aantonen dat zijn database was opgeschoond, of dat er juridische gronden waren voor de lopende opslag.