Persoonsgegevens bewaren en personeelsdossier: hoe zit dat?

Om een goede administratie bij te kunnen houden, moet een werkgever bepaalde persoonsgegevens een tijd bewaren. Hoe lang mag dat?

De inhoud van een digitaal of papieren dossier bevat veel informatie over een persoon. De werkgever kan bijvoorbeeld zien wanneer het salaris van een werknemer voor de laatste keer is verhoogd.

Om een goede administratie bij te kunnen houden, moet een organisatie sommige persoonsgegevens een (paar) jaar bewaren. Maar organisaties mogen die gegevens niet langer bewaren dan noodzakelijk is.

Geen concrete bewaartermijn
Op grond van de Algemene verordening gegevensbescherming (AVG) is er geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden, bijvoorbeeld op basis van belastingwetgeving.

Er is dus geen formule voor het vaststellen van bewaartermijnen. Wel kan het antwoord op de volgende vragen je helpen:

  • Zijn er wettelijke termijnen waar je je aan moet houden, zoals op grond van belastingwetgeving of de Archiefwet. En als er nog een juridische procedure loopt moet je de persoonsgegevens ook bewaren.
  • Hoe lang heb je de gegevens nodig voor het doel waarvoor je ze verwerkt? Kijk hierbij ook naar het bedrijfsbeleid. Zo kun je bepaalde gegevens bijvoorbeeld nog nodig hebben voor de controle op openstaande facturen.
  • Het uitgangspunt van de wet is dat je persoonsgegevens zo kort mogelijk bewaart. Kun je de termijn nog aanscherpen?

Gegevens vernietigen
Is de bewaartermijn van persoonsgegevens voorbij? Of zijn de gegevens niet meer noodzakelijk? Dan moeten organisaties de gegevens vernietigen.

Controleer periodiek de persoonsgegevens die je verwerkt. Wis of anonimiseer die persoonsgegevens waarvan de bewaartermijn is verstreken. Of eerder als je ze niet meer nodig hebt.

Automatisch vernietigen
Een organisatie moet de gegevens vernietigen als de bewaartermijn voorbij is of de gegevens niet meer noodzakelijk zijn. Daarbij moet de organisatie zorgvuldig omgaan met de persoonsgegevens. Dit betekent dat de organisatie goed moet stilstaan bij de manier waarop deze de gegevens vernietigt. Zeker als het om gevoelige gegevens gaat, zoals medische gegevens.

Voor digitaal opgeslagen gegevens zijn bijvoorbeeld systemen ontwikkeld die automatisch gegevens vernietigen op een van tevoren aangegeven tijdstip.

Dossier digitaliseren
Wil een organisatie een papieren dossier digitaal maken? Dan mag de organisatie de originele papieren dossier pas vernietigen als de organisatie zorgt voor een goede beveiliging van het digitale dossier.

Werknemer uit dienst
Hoe lang mag de werkgever de gegevens bewaren?

Voor sommige gegevens uit het personeelsdossier geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst de werkgever verplicht om die gegevens een bepaalde periode te bewaren. Voorbeelden hiervan zijn de loonbelastingverklaring en een kopie van het identiteitsbewijs. Deze moet de werkgever 5 jaar bewaren nadat de werknemer uit dienst is.

Voor andere gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens is de richtlijn: een bewaartermijn van 2 jaar nadat de werknemer uit dienst is.