VERDIEPINGSARTIKEL

Bewaartermijnen in verschillende wetten botsen soms

Het opslaan en bewaren van persoonsgegevens is aan de orde van de dag binnen ondernemingen. Nu de Algemene verordening gegevensbescherming (AVG) is ingegaan, rijzen er vragen over hoelang u persoonsgegevens mag bewaren. Dit is momenteel namelijk in verschillende wetten opgenomen. Is de AVG altijd doorslaggevend?


29 januari 2019 5 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online.


De AVG maakt heel wat los, en dat is niet gek. Zo zegt de AVG over de bewaartermijn van persoonsgegevens eigenlijk niets. Wel is in de wettekst te lezen dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarmee u ze verzameld heeft. U zult de persoonsgegevens op dat moment moeten verwijderen of anonimiseren. Nu lijkt dat heel simpel. Op het moment dat u bijvoorbeeld bureaus verkoopt en de klant heeft zijn bestelling in ontvangst genomen en betaald, dan kunnen de persoonsgegevens weg, toch? Het antwoord is ‘nee’. Vanwege de fiscale bewaarplicht heeft uw onderneming de verplichting om uw financiële administratie langer te bewaren dan u wellicht zelf noodzakelijk acht.

Fiscus wil gegevens kunnen opvragen

U mag de persoonsgegevens dan wel niet meer nodig hebben voor het leveren van bureaustoelen, de fiscus wil nog wel een aantal gegevens kunnen opvragen, zoals de facturen. Het lijkt dan kiezen tussen twee kwaden: de fiscale bewaarplicht overtreden óf de AVG. Zo’n vaart zal het niet lopen: zolang u de persoonsgegevens redelijkerwijs nodig heeft, mag u die bewaren. Maar dat moet u wel aan kunnen tonen. Toezichthouder Autoriteit Persoonsgegevens (AP) verwacht van organisaties dat zij goed kunnen onderbouwen waarom ze bepaalde beslissingen nemen.

Bewaartermijnen voor uw administratieve gegevens

Voor de basisgegevens uit de administratie geldt een wettelijke bewaarplicht van zeven jaar. Deze basisgegevens zijn: het grootboek, de debiteuren- en crediteurenadministratie, de inkoop- en verkoopadministratie, de voorraadadministratie en de loonadministratie. Voor andere administratieve stukken geldt een andere bewaartermijn. Loonbelastingverklaringen bijvoorbeeld, of gegevens voor de loonheffingen, kopieën van het identiteitsbewijs van werknemers en bijlagen voor de studenten- en scholierenregeling moeten bedrijven minstens tot vijf volle kalenderjaren ná het einde van de dienstbetrekking bewaren. Voor de administratie van onroerende zaken geldt een bewaartermijn van tien jaar.

Zorg dat u het bewaren van gegevens kunt onderbouwen

In het geval van het bewaren van persoonsgegevens, is het van belang dat uw onderneming zelf bepaalt wat de noodzakelijke termijn is om de data te bewaren. Zolang u kunt verantwoorden waarom u een bepaalde bewaartermijn hanteert voor persoonsgegevens, zult u niet snel in de problemen komen. Alle ondernemingen moeten wennen aan de AVG en zelfs de AP kan nog niet iedere vraag beantwoorden. Goede onderbouwing is daarom, zeker in de beginfase, cruciaal.

Zorg dat u wettelijke bewaartermijnen kent

Aan de basis van uw onderbouwing moet liggen dat u alle relevante wetten netjes volgt. Zorg dus dat u alle wettelijke bewaartermijnen kent, zodat u die naast de AVG kunt leggen. In het geval van de bureaus zal uw onderbouwing zijn om persoonsgegevens van klanten zeven jaar te bewaren, omdat het noodzakelijk is om aan de fiscale bewaarplicht te voldoen. Ondanks dat er in de AVG geen concrete bewaartermijnen worden genoemd, kunnen die dus wel in andere wetten zijn opgenomen. Om op de juiste manier met persoonsgegevens om te gaan, moet u zich bewust zijn van de relevante wetgeving. Naast de fiscale bewaarplicht vloeien er ook bewaartermijnen voort uit de Archiefwet voor overheidsinstellingen, het Burgerlijk Wetboek en de onderwijs- en belastingwetgeving.

Bewaartermijn is afhankelijk van soort gegevens

Met welke wetten en dus ook bewaartermijn u rekening moet houden, hangt af van het soort gegevens. Een document verliest actuele waarde als het geen deel meer uitmaakt van de administratie en het niet meer van belang is voor de onderneming. Een voorbeeld: zolang iemand bij uw onderneming werkt, is het kopietje van zijn identiteitsbewijs in het personeelsdossier relevant. Maar zodra hij uit dienst treedt, verliest de kopie actuele waarde en gaat de teller lopen.

Mensen hebben het recht op vergetelheid

Als het document nog actuele waarde heeft, is het van belang voor de administratie. U moet het bestand dan blijven bewaren. Dit geldt ook voor de gegevens die u in aanvulling op deze administratie bewaart. Denk hierbij bijvoorbeeld aan de correspondentie over een schadevergoeding aan een klant. Een bijzondere situatie doet zich voor als een klant of (oud-)werknemer zich beroept op het recht op gegevenswissing, ook wel het recht op vergetelheid. Dit recht houdt kort gezegd in dat mensen uw organisatie mogen verzoeken hun persoonsgegevens te wissen. Dat is niet zomaar een verzoek, en u hoeft er ook lang niet altijd aan te voldoen. In de AVG is een lijst met zes situaties te vinden waarin u moet instemmen met het verzoek om iemands gegevens te verwijderen. Bijvoorbeeld in de situatie dat een wettelijke bewaartermijn is verlopen en uw onderneming dus verplicht is om de gegevens te wissen. Of als een betrokkene zijn eerdere toestemming intrekt.

Vergeet de back-ups en kopieën niet

Als het moment dan aanbreekt dat u data mag of moet verwijderen, staat u nog een flinke klus te wachten. Het gaat dan niet alleen om de persoonsgegevens die u in bestanden heeft opgeslagen. Denk ook aan back-ups en kopieën. Dat maakt de zaken lastig, want u zult dan uit de hele berg data waar u een back-up van heeft gemaakt de gegevens van klant X moeten vissen. Toch zult u dat moeten doen. De AVG eist nu eenmaal dat u de data wist als u ze niet meer nodig heeft voor het oorspronkelijke doel. Een kopie laten staan omdat het een hele operatie is om die uit de back-upbestanden te halen, is geen geldig excuus.

Belastingdienst moet aangiften kunnen controleren

De administratie van uw onderneming vormt de basis van de fiscale aangiften. De Belastingdienst moet deze aangiften snel en goed kunnen controleren. Daarom moet u alles rond uw onderneming op zodanige wijze administreren en bewaren dat de rechten en plichten van het bedrijf en de gegevens die van belang zijn voor de heffing van de belasting, hieruit duidelijk blijken. De wet vertelt niet hoe u de administratie moet inrichten. U moet dit echter wel op zo’n manier doen, dat controle van de administratie door de Belastingdienst binnen een redelijke termijn mogelijk is.

Fiscale bewaarplicht geldt ook bij externe partijen

De fiscale bewaarplicht houdt in dat u uw digitale en papieren administratie een bepaalde periode moet bewaren. Deze bewaarplicht geldt ook als u uw administratie uitbesteedt aan externe partijen, zoals een administratie- of accountantskantoor. Op die manier hebben de Belastingdienst en andere overheidsinstellingen de gelegenheid om controles op uw administratie uit te voeren.

ICT kan beveiliging gevens makkelijker maken

Om het u makkelijker te maken om de verschillende bewaartermijnen na te komen, kunt u met uw ICT-afdeling of ICT-leverancier bespreken of het mogelijk is om de uitvoering van uw beleid te automatiseren via software die u gebruikt. Als u dan toch aan het bewaren bent, is het sowieso goed om nauw samen te werken met de IT-afdeling, omdat de AVG eist dat u ‘passende beveiligingsmaatregelen’ neemt om het lekken van persoonsgegevens te voorkomen.