Het opslaan en bewaren van persoonsgegevens is aan de orde van de dag binnen ondernemingen. Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) zijn er vaak vragen over hoelang u persoonsgegevens mag bewaren. Die termijn is namelijk in verschillende wetten opgenomen. Is de AVG altijd doorslaggevend?

De AVG zegt over de bewaartermijn van persoonsgegevens eigenlijk niets. Wel is in de wettekst te lezen dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarmee u ze verzameld heeft. U zult de persoonsgegevens op dat moment moeten verwijderen of anonimiseren.

Nu lijkt dat heel simpel. Op het moment dat u bijvoorbeeld bureaus verkoopt en de klant heeft zijn bestelling in ontvangst genomen en betaald, dan kunnen de persoonsgegevens weg, toch? Het antwoord is ‘nee’. Vanwege de fiscale bewaarplicht heeft uw onderneming de verplichting om uw financiële administratie langer te bewaren dan u wellicht zelf noodzakelijk acht.

U mag de persoonsgegevens dan wel niet meer nodig hebben voor het leveren van bureaustoelen, de fiscus wil nog wel een aantal gegevens kunnen opvragen, zoals de facturen. Het lijkt dan kiezen tussen twee kwaden: de fiscale bewaarplicht overtreden óf de AVG.

Zo’n vaart zal het niet lopen: zolang u de persoonsgegevens redelijkerwijs nodig heeft, mag u die bewaren. Maar dat moet u wel aan kunnen tonen. Toezichthouder Autoriteit Persoonsgegevens (AP) verwacht van organisaties dat zij goed kunnen onderbouwen waarom ze bepaalde beslissingen nemen.

Voor de basisgegevens uit de administratie geldt een wettelijke bewaarplicht van zeven jaar. Deze basisgegevens zijn: het grootboek, de debiteuren- en crediteuren­administratie, de inkoop- en verkoopadministratie, de voorraad­administratie en de loon­administratie.

Voor andere administratieve stukken geldt een andere bewaartermijn. Loonbelasting­verklaringen bijvoorbeeld, of gegevens voor de loonheffingen, kopieën van het identiteitsbewijs van werknemers en bijlagen voor de studenten- en scholierenregeling moeten bedrijven minstens tot vijf volle kalenderjaren ná het einde van de dienstbetrekking bewaren. Voor de administratie van onroerende zaken geldt een bewaartermijn van tien jaar.

In het geval van het bewaren van persoonsgegevens, is het van belang dat uw onderneming zelf bepaalt wat de noodzakelijke termijn is om de data te bewaren. Zolang u kunt verantwoorden waarom u een bepaalde bewaartermijn hanteert voor persoonsgegevens, zult u niet snel in de problemen komen.

Alle ondernemingen moeten wennen aan de AVG en zelfs de AP kan nog niet iedere vraag beantwoorden. Goede onderbouwing is daarom, zeker in de beginfase, cruciaal.

Aan de basis van uw onderbouwing moet liggen dat u alle relevante wetten netjes volgt. Zorg dus dat u alle wettelijke bewaartermijnen kent, zodat u die naast de AVG kunt leggen. In het geval van de bureaus zal uw onderbouwing zijn om persoonsgegevens van klanten zeven jaar te bewaren, omdat het noodzakelijk is om aan de fiscale bewaarplicht te voldoen.

Hoewel er in de AVG geen concrete bewaartermijnen worden genoemd, kunnen die dus wel in andere wetten zijn opgenomen. Om op de juiste manier met persoonsgegevens om te gaan, moet u zich bewust zijn van de relevante wetgeving.

Naast de fiscale bewaarplicht vloeien er ook bewaartermijnen voort uit de Archiefwet voor overheidsinstellingen, het Burgerlijk Wetboek en de onderwijs- en belastingwetgeving.

Met welke wetten en dus ook bewaartermijn u rekening moet houden, hangt af van het soort gegevens. Een document verliest actuele waarde als het geen deel meer uitmaakt van de administratie en het niet meer van belang is voor de onderneming.

Een voorbeeld: zolang iemand bij uw onderneming werkt, is het kopietje van zijn identiteitsbewijs in het personeelsdossier relevant. Maar zodra hij uit dienst treedt, verliest de kopie actuele waarde en gaat de teller lopen.

Als het document nog actuele waarde heeft, is het van belang voor de administratie. U moet het bestand dan blijven bewaren. Dit geldt ook voor de gegevens die u in aanvulling op deze administratie bewaart. Denk hierbij bijvoorbeeld aan de correspondentie over een schadevergoeding aan een klant.

Een bijzondere situatie doet zich voor als een klant of (oud-)werknemer zich beroept op het recht op gegevenswissing, ook wel het recht op vergetelheid. Dit recht houdt kort gezegd in dat mensen uw organisatie mogen verzoeken hun persoonsgegevens te wissen. Dat is niet zomaar een verzoek, en u hoeft er ook lang niet altijd aan te voldoen.

In de AVG is een lijst met zes situaties te vinden waarin u moet instemmen met het verzoek om iemands gegevens te verwijderen. Bijvoorbeeld in de situatie dat een wettelijke bewaartermijn is verlopen en uw onderneming dus verplicht is om de gegevens te wissen. Of als een betrokkene zijn eerdere toestemming intrekt.

Als het moment dan aanbreekt dat u data mag of moet verwijderen, staat u nog een flinke klus te wachten. Het gaat dan niet alleen om de persoonsgegevens die u in bestanden heeft opgeslagen. Denk ook aan back-ups en kopieën.

Dat maakt de zaken lastig, want u zult dan uit de hele berg data waar u een back-up van heeft gemaakt de gegevens van klant X moeten vissen. Toch zult u dat moeten doen. De AVG eist nu eenmaal dat u de data wist als u ze niet meer nodig heeft voor het oorspronkelijke doel. Een kopie laten staan omdat het een hele operatie is om die uit de back-upbestanden te halen, is geen geldig excuus.

De administratie van uw onderneming vormt de basis van de fiscale aangiften. De Belastingdienst moet deze aangiften snel en goed kunnen controleren. Daarom moet u alles rond uw onderneming op zodanige wijze administreren en bewaren dat de rechten en plichten van het bedrijf en de gegevens die van belang zijn voor de heffing van de belasting, hieruit duidelijk blijken.

De wet vertelt niet hoe u de administratie moet inrichten. U moet dit echter wel op zo’n manier doen, dat controle van de administratie door de Belastingdienst binnen een redelijke termijn mogelijk is.

De fiscale bewaarplicht houdt in dat u uw digitale en papieren administratie een bepaalde periode moet bewaren. Deze bewaarplicht geldt ook als u uw administratie uitbesteedt aan externe partijen, zoals een administratie- of accountantskantoor. Op die manier hebben de Belastingdienst en andere overheidsinstellingen de gelegenheid om controles op uw administratie uit te voeren.

Om het u makkelijker te maken om de verschillende bewaartermijnen na te komen, kunt u met uw ICT-afdeling of ICT-leverancier bespreken of het mogelijk is om de uitvoering van uw beleid te automatiseren via software die u gebruikt.

Als u dan toch aan het bewaren bent, is het sowieso goed om nauw samen te werken met de IT-afdeling, omdat de AVG eist dat u ‘passende beveiligingsmaatregelen’ neemt om het lekken van persoonsgegevens te voorkomen. 

Meer weten over MN adviseurs & accountants of hulp nodig? Kijk op mnadviseurs.nl en/of neem gerust contact met ons op onder T: 0031 85 0401120 of E: info@mnadviseurs.nl

^{* Wij streven ernaar om middels de nieuwsberichten op deze website correcte en actuele informatie te verschaffen, maar kunnen niet garanderen dat die informatie na verloop van tijd nog steeds juist, volledig en actueel is. Wij aanvaarden dan ook geen aansprakelijkheid voor de gevolgen van handelen of nalaten op grond van de inhoud van de nieuwsberichten}