Wettelijke bewaartermijnen en de AVG
15 maart 2019Op grond van de privacywet, de Algemene verordening gegevensbescherming (AVG), mogen persoonsgegevens alleen worden verwerkt als er een grondslag is. De persoonsgegevens moeten zo spoedig mogelijk worden verwijderd. Grondslagen voor verwerking van persoonsgegevens zijn onder meer een wettelijke verplichting en de uitvoering van een overeenkomst.
In de AVG staan de basisprincipes, waarvan in andere regelgeving kan worden afgeweken. Die andere regelgeving kan er toe leiden dat de persoonsgegevens verplicht langer moeten worden bewaard dan de hoofdregel van de AVG. Voorbeelden daarvan zijn:
- de verplichting tot het voeren van een administratie op grond van het Burgerlijk Wetboek en op grond van fiscale regels die gelden voor rechtspersonen en ondernemingen;
- bijzondere wetten, bijvoorbeeld de regels van het gezondheidsrecht, die voorschrijven dat gegevens van patiënten langdurig moeten worden bewaard.
Bewaarplicht burgerlijk recht
De administratieplicht houdt in dat een rechtspersoon en een onderneming te allen tijde een boekhouding moeten voeren waaruit is af te leiden wat de rechten en verplichtingen van de rechtspersoon of de onderneming zijn. De boeken, bescheiden en andere gegevensdragers waarin de administratie is opgenomen, moeten gedurende zeven jaar worden bewaard. Aandachtspunt daarbij is dat moet worden beoordeeld of persoonsgegevens nodig zijn voor die administratie.
Voorbeeld: om een factuur aan een consument, ondernemer-of natuurlijke persoon te kunnen sturen, is het nodig om over de naam en het adres van de klant te beschikken. Andere gegevens van de klant (zoals geboortedatum) hoeven alleen te worden geadministreerd als bijzondere wetgeving dat voorschrijft. Dat kan het geval zijn op grond van bijvoorbeeld fiscale regels of regels die gelden in de zorg.
Aandachtspunt: richt de administratie zo in dat alleen de wettelijk vereiste persoonsgegevens daarin zijn opgenomen. Als er andere persoonsgegevens worden verwerkt, bewaar die dan apart en verwijder ze zodra dat kan.
Bewaarplicht fiscale regelgeving
Fiscale regelgeving en aanverwante regelgeving (zoals inzake pensioenfondsen) bevatten veel voorschriften over gegevens die moeten worden geregistreerd en bewaard. Daartoe behoren ook persoonsgegevens, bijvoorbeeld van werknemers en van klanten die natuurlijk persoon zijn.
In het belastingrecht is de hoofdregel dat de fiscale administratie zeven jaar moet worden bewaard. In specifieke gevallen (in verband met onroerende zaken) geldt een tienjaarstermijn.
Belangrijke redenen om persoonsgegevens te verwerken en te bewaren zijn:
- de regels inzake omzetbelasting, die voorschriften bevatten omtrent de gegevens die op een factuur moeten worden vermeld (zoals naam en adres van de klant). Voor facturen geldt de zevenjaarsbewaartermijn;
- de regels inzake loonheffing en andere inhoudingen (zoals pensioenpremie).
Deze regels geven een grondslag voor verwerking van persoonsgegevens en kunnen ertoe leiden dat persoonsgegevens langer moeten worden bewaard dan op grond van de hoofdregels van de AVG.
Diverse persoonsgegevens inzake werknemers moeten op grond van de fiscale regels worden verzameld en bewaard, zoals:
- de kopie van het identiteitsbewijs van de werknemer moet worden gemaakt bij indiensttreding en worden bewaard tot vijf jaar nadat de werknemer uit dienst is;
- loonbelastingverklaringen en formulieren met de gegevens voor de loonheffingen, zoals het 'Model opgaaf gegevens voor de loonheffingen', moeten gedurende vijf jaar nadat de werknemer uit dienst is worden bewaard. Hetzelfde geldt voor bepaalde kopieën van beschikkingen of verklaringen die van de werknemers zijn ontvangen;
- persoonsgegevens die in een loonadministratie behoren te worden opgenomen, moeten gedurende zeven jaar na afloop van het belastingjaar worden bewaard.
Al deze werknemergegevens moeten na afloop van de termijn direct worden verwijderd.
Bewaarplicht op grond van bijzondere wetgeving
De hiervoor beschreven bewaarplicht op grond van het burgerlijk recht en de fiscale regelgeving gelden voor alle rechtspersonen en ondernemingen. Bijzondere regelgeving kan ertoe leiden dat er meer persoonsgegevens moeten worden verzameld en andere bewaartermijnen gelden. Voorbeelden daarvan zijn:
- sectorale regels, zoals regels voor instellingen in de zorg (medische beroepsbeoefenaren, apothekers, enz.), financiële instellingen (banken, verzekeraars, pensioenfondsen en dergelijke) en regels voor transportondernemingen;
- criminaliteitsbestrijdingsregels, zoals de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). De Wwft verplicht een grote groep ondernemingen ertoe dat een cliëntenonderzoek wordt uitgevoerd. Dat onderzoek omvat dat persoonsgegevens worden verwerkt, onder andere van aandeelhouders, uiteindelijk belanghebbenden en vertegenwoordigers. Op grond van de Wwft dienen de antecedenten van bij cliënten betrokken natuurlijke personen te worden nagetrokken. Voorts zijn Wwft-plichtigen verplicht om vermoedens van criminaliteit (witwassen/terrorismefinanciering) als ‘ongebruikelijke transactie’ te melden aan FIU-Nederland.
Bewaren om een andere reden
Er kunnen andere goede redenen zijn om gegevens te bewaren. Bijvoorbeeld de aard van de activiteiten of het risicoprofiel van een rechtspersoon of onderneming.
Als bij de bewaarde gegevens sprake is van persoonsgegevens, zal heel kritisch moeten worden gekeken of de AVG een grondslag biedt voor het bewaren van de gegevens. Als die grondslag ontbreekt, kunnen de betrokkenen (de personen van wie de persoonsgegevens zijn) verwijdering eisen. Een nadeel van langdurig bewaren is bovendien dat degene die bewaart, verantwoordelijk is voor de beveiliging en toegang van de eigen medewerkers op ‘need-to-know’ basis.
Verwijderingsverplichting op grond van de AVG
Op grond van de AVG dienen zo weinig mogelijk persoonsgegevens te worden verzameld. De gegevens mogen slechts zo lang worden bewaard als strikt noodzakelijk is. Veelal geldt een termijn van twee jaar, maar er zijn diverse situaties waarin de termijn korter is. Voorbeelden zijn:
- gegevens die sollicitanten hebben verstrekt, mogen maximaal vier weken worden bewaard, tenzij er toestemming door de sollicitant is gegeven, dan is verlenging tot één jaar mogelijk (dit geldt niet als de sollicitant in dienst worden genomen);
- de gegevens inzake een loonbeslag moeten verwijderd direct nadat het beslag is opgeheven of geëindigd.
Inrichting administratie in verband met de bewaar- en verwijderplicht
Een en ander kan als volgt worden samengevat:
- Algemene AVG toetsing:
Is er een grondslag voor verwerking van persoonsgegevens (onder andere wettelijke grondslag, overeenkomst)? Let er op dat toestemming door betrokkene vaak geen geldige grondslag is. - Algemene bewaarplicht:
Welke persoonsgegevens dienen te worden bewaard op grond van het Burgerlijk Wetboek en de fiscale regelgeving en hoe lang? - Bijzondere bewaarplicht: Welke persoonsgegevens dienen op grond van bijzondere regelgeving te worden bewaard en hoe lang?
- Verwijderingsverplichting op grond van de AVG:
Als punt 2. en 3. op persoonsgegevens niet van toepassing zijn, dienen de gegevens zo spoedig mogelijk te worden verwijderd, nadat de grondslag niet langer aanwezig is, waarbij verschillende termijnen kunnen gelden. Voor persoonsgegevens als bedoeld in punt 2. en 3. geldt dat zij dienen te worden verwijderd zodra de wettelijke termijn is verstreken.
Uit het voorgaande kan worden afgeleid dat bij het inrichten van de administratie goed moet worden gelet op het tijdig verwijderen van persoonsgegevens.
Het is aan te bevelen om voor uw organisatie in kaart te brengen om welke persoonsgegevens het gaat en welke categorieën kunnen worden onderscheiden in het kader van de bewaartermijnen.
De privacyspecialisten van Pellicaan Advocaten kunnen u assisteren bij het in kaart brengen van de bewaartermijnen die voor uw organisatie relevant zijn en bij de toetsing of een grondslag voor verwerking van persoonsgegevens aanwezig is.
