view solutions / Search
Search

Het bewaringsbeginsel van de GDPR

Het opslagbeperkingsbeginsel van de GDPR, neergelegd in artikel 5, lid 1, onder e), vereist dat persoonsgegevens worden bewaard in een vorm die identificatie van betrokkenen mogelijk maakt gedurende niet langer dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. Dit is geen standaardtoestemming om gegevens voor onbepaalde tijd te bewaren in afwachting van een zakelijke beslissing tot verwijdering — het is een actieve verplichting om bewaartermijnen vast te stellen, te documenteren en te implementeren voor elke categorie persoonsgegevens die uw organisatie verwerkt, en deze termijnen af te dwingen door verwijdering of anonimisering wanneer de bewaartermijn verstrijkt.

Het opslagbeperkingsbeginsel is een van de meest consequent gehandhaafd aspecten van de GDPR in het kader van onderzoeken door gegevensbeschermingsautoriteiten. Organisaties die geen gedocumenteerd bewaarbeleid hebben, gegevens ver buiten enig identificeerbaar zakelijk doel bewaren, of geen operationeel mechanisme hebben voor het verwijderen van gegevens wanneer bewaartermijnen verstrijken, lopen een aanzienlijk regulatoir risico.

Bewaartermijnen bepalen

Er bestaat geen enkele door de GDPR verplichte bewaartermijn voor de meeste datcategorieën. Het opslagbeperkingsbeginsel vereist dat bewaartermijnen worden bepaald aan de hand van de doeleinden waarvoor gegevens worden verwerkt — bewaring is rechtmatig zolang het doel voortduurt, en dient te eindigen wanneer het doel eindigt of verstrijkt. Organisaties dienen derhalve de doeleinden van elke verwerkingsactiviteit voldoende precies te definiëren om een corresponderende bewaartermijn af te leiden.

Meerdere externe bronnen beperken of informeren bewaartermijnen. Belgische en EU-wetgeving schrijft minimumbewaartermijnen voor voor specifieke datacategorieën: arbeidsgegevens dienen doorgaans zeven jaar te worden bewaard voor belastingdoeleinden; boekhoudkundige gegevens gedurende zeven jaar onder Belgisch boekhoudrecht; oprichtings- en governancedocumenten van ondernemingen gedurende tien jaar na ontbinding; en gezondheidsgegevens gedurende twintig jaar in de meeste klinische contexten onder Belgisch recht. Rechtszaken verlengen de bewaartermijn voor documenten die relevant zijn voor lopende of voorzienbare vorderingen.

Bewaring in de praktijk implementeren

Een bewaarbeleid dat op papier bestaat maar operationeel niet wordt gehandhaafd, biedt geen nalevingswaarde. De praktische implementatie van gegevensbewaring vereist: een gedocumenteerde bewaringsplanning die alle categorieën persoonsgegevens bestrijkt die door de organisatie worden verwerkt; systeemconfiguraties die verwijdering automatiseren of verwijderingsbeoordelingen triggeren wanneer bewaartermijnen verstrijken; training voor medewerkers die ad hoc beslissingen nemen over het al dan niet bewaren of verwijderen van gegevens; een procedure voor het toepassen van bewaringsblokkades wanneer rechtszaken of regelgevend onderzoek verwijdering ongepast maken; en een auditspoor dat aantoont dat het beleid daadwerkelijk wordt nageleefd.

Voor organisaties die gebruik maken van clouddiensten, SaaS-platforms of externe gegevensverwerkers, strekken de bewaringsverplichtingen zich uit tot gegevens die door die verwerkers worden bewaard: de verwerkingsverantwoordelijke is verantwoordelijk voor het verzekeren dat verwerkersovereenkomsten passende bewaar- en verwijderingsverplichtingen bevatten, en dat verwerkers gegevens daadwerkelijk verwijderen wanneer daartoe wordt opgedragen en wanneer de bewaartermijn onder de verwerkingsovereenkomst verstrijkt.

Anonimisering als alternatief voor verwijdering

De bewaringsverplichting van de GDPR wordt niet alleen voldaan door verwijdering maar ook door effectieve anonimisering: gegevens die echt zijn geanonimiseerd — onomkeerbaar gewijzigd zodat geen enkel individu kan worden geïdentificeerd, noch direct noch door kruisverwijzing met andere gegevens — zijn geen persoonsgegevens meer en vallen buiten de reikwijdte van de GDPR. Organisaties die gegevens voor statistische, onderzoeks- of analytische doeleinden moeten bewaren na het verstrijken van de bewaartermijn voor persoonsgegevens, kunnen anonimiseren in plaats van verwijderen, mits de anonimisering echt en onomkeerbaar is.

De drempel voor echte anonimisering is veeleisend. De Artikel 29-Werkgroep heeft vastgesteld dat anonimisering rekening moet houden met alle middelen die redelijkerwijs kunnen worden ingezet om personen te heridentificeren, waaronder datatechnieken voor koppeling en inferentie. Pseudonimisering — het vervangen van identificerende velden door pseudoniemen terwijl de mogelijkheid om te heridentificeren behouden blijft — vormt geen anonimisering onder de GDPR en voldoet niet aan het opslagbeperkingsbeginsel.

Veelgestelde Vragen

Is een formele bewaringsplanning vereist en waar dient deze te worden gedocumenteerd?

Een formele bewaringsplanning is zowel een wettelijke vereiste (zij vloeit voort uit de verantwoordingsplicht onder artikel 5, lid 2, GDPR) als een praktische noodzaak voor operationele implementatie. Zij dient te worden gedocumenteerd binnen of naast het Register van Verwerkingsactiviteiten (RoPA) en dient toegankelijk te zijn voor de FG en de medewerkers die verantwoordelijk zijn voor gegevensbeheer. De planning dient voor elke verwerkingsactiviteit of datacategorie te specificeren: de bewaartermijn, de basis voor die termijn (zakelijk doel, wettelijke verplichting, verjaringstermijn) en de actie die bij het verstrijken wordt ondernomen (verwijdering, anonimisering of beoordeling).

Wat te doen als gegevens niet kunnen worden verwijderd omdat ze zijn ingebed in back-upsystemen?

Back-upsystemen vormen een praktische uitdaging voor de naleving van gegevensbewaring. De GDPR vereist niet dat gegevens gelijktijdig uit alle systemen inclusief back-ups worden verwijderd, maar vereist wel dat gegevens in back-ups niet worden hersteld naar actieve verwerking zodra hun bewaartermijn is verstreken. De pragmatische aanpak is het documenteren van de back-upbewaarcyclus, zorgen dat back-ups worden overschreven binnen een bepaalde periode die evenredig is aan het zakelijke risico, en een beleid vaststellen dat gegevens die zijn verwijderd of onderworpen zijn aan een inzageverzoek worden uitgesloten van herstel uit back-up.

Hoe lang mogen werknemersgegevens worden bewaard na het einde van een arbeidsrelatie?

De bewaartermijn voor werknemersgegevens na het einde van de arbeidsrelatie is afhankelijk van de datacategorie en de toepasselijke wettelijke en verjaringstermijnen. Loon- en belastinggegevens: doorgaans zeven jaar onder Belgisch belastingrecht. Sociale-zekerheidsdocumenten: vijf jaar. Arbeidsovereenkomsten en gegevens relevant voor potentiële discriminatie- of onrechtmatige ontslagvorderingen: doorgaans vijf jaar vanaf het einde van de arbeidsrelatie. Gezondheidsgegevens met betrekking tot bedrijfsgeneeskunde: twintig jaar. Persoonsgegevens zonder voortdurend doel na het einde van het dienstverband — persoonlijke contactgegevens, biografische informatie — dienen snel te worden verwijderd.

Bart Lieben
Attorney-at-Law
Attend webinar
key takeaways
Check mark icon
Begrijp de juridische vereisten voor databewaring onder de AVG en sectorspecifieke regelgeving.
Check mark icon
Ontwikkel een conforme bewaarbeleid met concrete termijnen voor alle gegevenscategorieën in uw organisatie.
Check mark icon
Vermijd tegenstrijdige verplichtingen tussen minimale gegevensopslag en wettelijke bewaarplichten.
Check mark icon
Implementeer technische en organisatorische maatregelen voor systematische gegevensverwijdering en -archivering.
Check mark icon
Documenteer uw bewaarbeleid als onderdeel van uw AVG-verantwoordingsplicht.
Check mark icon
Bescherm uw organisatie tegen handhavingsrisico's door een gestructureerd en aantoonbaar bewaarbeleid.
Get in touch

More related articles

Websitetechnologie-audits en GDPR-naleving

GDPR websiteaudit: technologiescan, cookienaleving, datastromen en privacyverklaring systematisch beoordelen.

more info
Right arrow icon for navigation

Internationale gegevensoverdrachten na Schrems II

Internationale GDPR-gegevensoverdrachten: DPF, SCC's, TIA's en nalevingsvereisten na Schrems II.

more info
Right arrow icon for navigation

GDPR Register van Verwerkingsactiviteiten (RoPA): wat u nodig heeft

GDPR RoPA: verplichte inhoud, opbouw, onderhoud en gebruik als compliance-instrument onder artikel 30.

more info
Right arrow icon for navigation

Datalekrespons: de 72-uur-aftelling

GDPR datalekken: 72-uur meldplicht, risicodrempels, notificatievereisten en incidentresponsvoorbereiding.

more info
Right arrow icon for navigation

Inzageverzoeken (DSARs): een praktische gids

Inzageverzoeken onder GDPR: termijnen, zoekplicht, uitzonderingen en werkprocessen voor naleving.

more info
Right arrow icon for navigation

Cookienaleving en toestemmingsbeheer onder GDPR en ePrivacy

Cookienaleving: ePrivacy- en GDPR-vereisten voor geldig toestemmingsbeheer op Belgische websites.

more info
Right arrow icon for navigation
View all
pitch

Who we are:

A multidisciplinary practice of technology-enabled lawyers and IP attorneys who make innovative entrepreneurs grow and win.

Correspondence addresses:

Pitch BV:
Grétrystraat 54, 2018 Antwerpen (Belgium)
BE 1013.954.658.
Terms & Conditions Pitch BV

Pitch Patents BV:
Vinkenstraat 10, 2440 Geel (Belgium)
BE 0781.754.276
Terms & Conditions Pitch Patents BV
Privacy Policy
Website Terms & Conditions
WhatsApp messaging icon for live chat support
Pitch Chatbot
Contact us right away
Pitch Chatbot
Hi there,
How can we help you today?
Start Whatsapp Chat
By clicking “Accept All Cookies”, you agree to the storing of cookies on your device to enhance site navigation, analyze site usage and assist in our marketing efforts. More info
Accept all cookies
Cookie preferences
Deny all
No items found.