Bewaren van mijn persoonsgegevens 

De inhoud van een papieren of een digitaal dossier bevat veel informatie over een persoon. Uw huisarts weet bijvoorbeeld welke medicijnen u gebruikt. En uw werkgever kan zien wanneer uw salaris voor de laatste keer verhoogd is. Om een goede administratie bij te kunnen houden, moeten bepaalde persoonsgegevens gedurende een zekere periode worden bewaard. Maar u wilt niet dat allerlei informatie zomaar bij instanties blijft liggen. Daarom is het belangrijk dat die gegevens niet langer worden bewaard dan nodig is. Hier kunt u lezen hoelang persoonsgegevens die in een bestand zijn opgenomen, bewaard mogen worden.

De Wet bescherming persoonsgegevens (Wbp) regelt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Een bedrijf of instelling (hierna: organisatie) bepaalt aan de hand van het doel hoe lang uw gegevens bewaard moeten worden. Dit is een algemene regel waarvan de uitwerking per situatie kan verschillen. Het is niet altijd nodig om alles van u te bewaren. De archiefkasten of de harde schijf van een organisatie raken alleen maar vol. Het is dus ook nuttig dat organisaties geregeld hun papieren en/of digitale dossiers schonen. Als een organisatie van mening is dat bepaalde gegevens niet meer nodig zijn en er is voor die gegevens geen wettelijke bewaartermijn, dan kan een organisatie ze gerust verwijderen.

De Wet bescherming persoonsgegevens geeft dus geen concrete bewaartermijn voor persoonsgegevens. Persoonsgegevens zijn doorgaans onderdeel van documenten, dossiers of bestanden. In bijvoorbeeld de Archiefwet, het Burgerlijk Wetboek of de onderwijs- en belastingwetgeving zijn wel concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. Bij het bewaren van persoonsgegevens moet een organisatie daarom rekening houden met al deze wetgeving.

Bij de Archiefwet gaat het alleen om de ‘archiefbescheiden’ van de Nederlandse overheid en niet van het bedrijfsleven. De Archiefwet kent geen algemene bewaartermijn, maar schrijft voor dat elk overheidsorgaan over een selectielijst moet beschikken. Hierin staat welke stukken op termijn vernietigd moeten worden en welke voor altijd bewaard moeten blijven. Zie voor meer informatie over de Archiefwet de internetsite van de Rijksarchiefinspectie. Op deze site vindt u onder meer het artikel ‘Sporen nalaten of uitwissen? Het bewaren van persoonsgegevens’. Dit artikel gaat in op de verhouding tussen Archiefwet en Wbp bij de selectie en de vernietiging van archiefbescheiden en van persoonsgegevens.

Een wettelijke bewaarplicht hoeft niet voor al uw gegevens te gelden. Volgens de belastingwetgeving moet uw werkgever uw fiscaal relevante gegevens gedurende 7 jaar na beëindiging van uw dienstverband bewaren. Wanneer hij de andere gegevens uit uw dossier niet meer nodig heeft en er geldt hiervoor geen specifieke bewaarplicht, dan is de algemene regel van de Wbp van toepassing en moet hij die gegevens zo spoedig mogelijk uit uw dossier verwijderen.

Het gebruik van persoonsgegevens moet gemeld worden bij het College bescherming persoonsgegevens (CBP), tenzij hiervoor een vrijstelling geldt. In het Vrijstellingsbesluit (VB) zijn veel situaties opgenomen die uitgezonderd zijn van deze meldingsplicht. Het VB geeft een indicatie wat redelijke bewaartermijnen zijn voor bepaalde persoonsgegevens. Omdat het VB alleen iets zegt over de meldingsplicht kunnen de hierin genoemde bewaartermijnen slechts als richtlijn worden gebruikt bij de beoordeling hoelang persoonsgegevens mogen worden bewaard. Voor de meeste administraties die in het VB zijn opgenomen, geldt een bewaartermijn van maximaal 2 jaar. In enkele gevallen is de bewaartermijn langer of korter.

Op het moment dat bepaalde persoonsgegevens langer bewaard worden dan in het VB is aangegeven, dient de gegevensverwerking doorgaans wel bij het CBP gemeld te worden. Als echter door een wettelijke bewaarplicht bepaalde persoonsgegevens langer bewaard moeten blijven dan de termijn die in het VB is genoemd, kan een vrijstelling van de meldingsplicht toch mogelijk zijn. Voor gegevens van bijvoorbeeld abonnees staat in het VB een bewaartermijn van ten hoogste 2 jaar na beëindiging van het abonnement, tenzij de gegevens nog noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. Wanneer een uitgever bepaalde gegevens van zijn abonnees langer bewaart dan 2 jaar om te voldoen aan een wettelijke plicht, kan hij toch vrijstelling hebben.

Als een organisatie uw gegevens niet meer nodig heeft of de bewaartermijn is verlopen dan moet hij uw gegevens verwijderen. Verwijderen betekent niet dat uw gegevens altijd vernietigd moeten worden. Het is al voldoende dat de gegevens buiten het bereik van de actieve administratie worden gebracht en in een archiefdepot of op een aparte schijf worden opgeslagen. Een organisatie mag persoonsgegevens in een archief bewaren als het bestemd is voor historische, statistische of wetenschappelijke doeleinden. Bij de overheid is de bewaring van archiefdocumenten of archiefbestanden voor enige tijd of voor altijd neergelegd in de selectielijsten ingevolge de Archiefwet. Het bedrijfsleven moet de bewaartermijn van de archiefdocumenten zelf vastleggen. Tenzij de Archiefwet of een andere wet van toepassing is, zijn aan de persoonsgegevens in een archief geen bewaartermijnen verbonden. Die gegevens moeten daarom worden verwijderd zodra zij hun belang voor de archiefbestemming hebben verloren. Een organisatie kan ook besluiten de gegevens te vernietigen in plaats van ze in een archief op te nemen.

Voor de wijze waarop gegevens vernietigd moeten worden, is geen harde regel te geven. Een organisatie moet zorgvuldig met uw gegevens omgaan. Deze verantwoordelijkheid wordt groter naarmate de gevoeligheid van de gegevens groter is. Met het oog hierop is een oud-papierbak niet de juiste plaats om bijvoorbeeld medische gegevens in af te voeren. Een papierversnipperaar of een in papierafvoer gespecialiseerd bedrijf is dan een meer aangewezen weg. Voor digitaal opgeslagen gegevens zijn systemen ontwikkeld die automatisch gegevens vernietigen op een van tevoren aangegeven tijdstip. Als praktisch alternatief kan de organisatie de gegevens na afloop van de bewaartermijn aan u meegeven, zodat u zelf verantwoordelijk wordt voor wat er met uw gegevens gebeurt.

Hieronder volgen bewaartermijnen van diverse soorten persoonsgegevens. De genoemde bewaartermijnen zijn indicaties. Een limitatieve opsomming is niet mogelijk omdat de bewaartermijn afhankelijk is van verschillende wetgeving.

In een sollicitatieprocedure vraagt de organisatie waar u solliciteert bepaalde informatie, zoals geboortedatum, opleidingsniveau en werkervaring. Deze gegevens kunt u schriftelijk geven door middel van bijvoorbeeld een sollicitatiebrief of een curriculum vitae. Tijdens het sollicitatiegesprek kunnen de personen die bij het gesprek aanwezig zijn aantekeningen maken van de antwoorden die u geeft, het verloop van het gesprek en de indruk die zij van u krijgen. Ook een assessment en/of psychologisch onderzoek maken soms deel uit van de procedure.

Mocht u de functie niet krijgen dan is het gebruikelijk dat uw gegevens verwijderd worden uiterlijk 4 weken nadat de sollicitatieprocedure is beëindigd. Wel kunt u toestemming geven om uw gegevens langer te bewaren, bijvoorbeeld omdat er op een later tijdstip een mogelijk passende functie beschikbaar komt. Een termijn van maximaal een jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

Uw werkgever beschikt over uiteenlopende informatie die mogelijk is opgenomen in verschillende dossiers. Bijvoorbeeld een verslag van het functioneringsgesprek, wanneer en hoe vaak u afwezig bent, uw sofi-nummer en de hoogte van uw salaris. Zie voor meer informatie over de inhoud van een personeelsdossier het informatieblad Uw personeelsdossier Op grond van diverse wetgeving is uw werkgever verplicht gegevens uit uw personeelsdossier voor een bepaalde periode te bewaren. Indien uw werkgever bijvoorbeeld een overheidsorgaan is, moet hij rekening houden met de bewaartermijnen in de op grond van de Archiefwet vastgestelde vernietigings- of selectielijsten. Alleen op basis van zo’n lijst kan uw werkgever vaststellen of hij personeelsgegevens mag vernietigen. In tegenstelling tot de Archiefwet is onder meer de belastingwetgeving wel van toepassing op alle werkgevers. Voor de gegevens uit de salarisadministratie, die fiscaal van belang zijn, bestaat een bewaarplicht van 7 jaar na het einde van de dienstbetrekking. Daarnaast moet uw werkgever loonbelastingverklaringen en een kopie van een identiteitsbewijs 5 jaar na het einde van de dienstbetrekking bewaren.

Voor sommige gegevens uit uw personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens geldt in het algemeen een bewaartermijn van 2 jaar nadat het dienstverband is beëindigd. Mochten die gegevens echter in een eerdere fase al niet meer nodig zijn, dan moet uw werkgever ze direct verwijderen. Enkele voorbeelden: verslagen van functionerings- en beoordelingsgesprekken, arbeidsovereenkomsten en wijzigingen hierin, correspondentie over benoeming, promotie, degradatie en ontslag, afspraken over werkzaamheden ten behoeve van de ondernemingsraad, getuigschriften en administratieve verzuimgegevens.

Een werkgever kan gegevens van een (ex-)werknemer langer bewaren indien hij een arbeidsconflict met hem heeft (gehad) of als er een rechtszaak loopt. Tevens mag hij de gegevens langer bewaren als een (ex-) werknemer hiervoor toestemming heeft gegeven. Het is mogelijk dat hij de gegevens van ex-medewerkers, die hij nog moet bewaren, van het actieve bestand naar het passieve bestand verplaatst.

Hulpverleners, bijvoorbeeld huisartsen, bewaren uw medische gegevens in een dossier. De bewaartermijn van deze patiëntendossiers wordt over het algemeen geregeld in de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Hierin staat dat de hulpverlener de gegevens gedurende 15 jaar moet bewaren. De WGBO is niet van toepassing voor medische gegevens die niet onder de geneeskundige behandelingsovereenkomst vallen. Denk bijvoorbeeld aan thuiszorg uitsluitend in het kader van verpleging en verzorging. Voor deze gegevens geldt de algemene regel van niet langer bewaren dan nodig is.

Een leerlingdossier bestaat onder meer uit informatie over de onderwijskundige en algemene begeleiding van de leerling zoals uitslagen van toetsresultaten en verslagen van gesprekken met ouders. Daarnaast zitten in een leerlingendossier administratieve gegevens zoals verzuim-, in- en uitschrijvingsgegevens en gegevens van leerlingen en hun ouders die nodig zijn voor het berekenen van het formatiebudget. In het algemeen geldt voor leerlinggegevens een bewaartermijn van 2 jaar nadat de leerling de school heeft verlaten. Er zijn echter bepalingen in de onderwijswet- en regelgeving die een langere termijn voorschrijven. Zo geldt bijvoorbeeld voor het primair en voortgezet onderwijs dat gegevens over absentie, in- en uitschrijving 5 jaar bewaard moeten blijven nadat de leerling is uitgeschreven. Ook de adviezen en beslissingen van de Permanente Commissie Leerlingenzorg zijn hiervan een voorbeeld. Deze gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen, moet een school 3 jaar bewaren, na het vertrek van de leerling. Ook kan de Archiefwet van toepassing zijn evenals het Examenbesluit. In het Examenbesluit staat onder meer dat het centraal examen, inclusief de cijferlijsten, tenminste 6 maanden bewaard moet worden. Adresgegevens van (oud)leerlingen mogen wel bewaard blijven voor het organiseren van reünies.

Op veel plaatsen wordt voor de veiligheid van klanten, personeelsleden en het toezicht op objecten gewaakt met videocamera’s. Voor camerabeelden op openbare plaatsen geldt een wettelijke bewaartermijn van 4 weken. Deze termijn is bestemd voor beelden die geen aanleiding geven tot nader onderzoek of specifiek opsporingsonderzoek. De bewaartermijn kan worden verlengd als beelden van strafbare feiten zijn vastgelegd die gebruikt kunnen worden als bewijsmateriaal in een strafprocedure.

Voor de overige camerabeelden geldt als richtsnoer een bewaartermijn van 24 uur. Indien in die periode geen incidenten hebben plaatsgevonden, is er geen reden om de gemaakte opnamen langer te bewaren. Deze zullen dan verwijderd moeten worden. Het komt voor dat een camera een bepaald incident vastlegt, bijvoorbeeld een winkeldiefstal. Die beelden mogen dan bewaard worden tot het geconstateerde incident is afgehandeld.

De Wet bescherming persoonsgegevens (Wbp) geeft u een aantal rechten waardoor u controle kunt uitoefenen op het gebruik van uw persoonsgegevens door een verantwoordelijke. De verantwoordelijke is degene die uw persoonsgegevens verwerkt. Bijvoorbeeld uw werkgever, energiebedrijf, gemeente, bank, zorginstelling of een webshop waar u producten heeft aangeschaft.
De rechten die de Wbp u biedt zijn het recht op informatie, aanvulling, correctie en verwijdering, inzage en verzet. U kunt voor het uitoefenen van uw rechten gebruik maken van modelbrieven die het CBP heeft ontwikkeld.

Ga met uw vragen of klachten altijd eerst naar de verantwoordelijke.
Een verantwoordelijke kan zijn uw werkgever, energiebedrijf, gemeente, bank, zorginstelling of een webshop waar u producten heeft aangeschaft.

Als u meent dat uw persoonsgegevens onrechtmatig zijn gebruikt en de verantwoordelijke reageert niet of niet naar uw tevredenheid op uw verzoek of klacht, dan kunt u naar de rechter gaan met een beroep op de rechtsbescherming die de Wet bescherming persoonsgegevens biedt. U kunt de rechter dan bijvoorbeeld vragen om een verbod, herstel van de (nadelige) gevolgen of een schadevergoeding.

U kunt ook een signaal afgeven bij het CBP.
Het CBP gebruikt de informatie uit uw signalen voor het maken van keuzes in het kader van zijn toezichthoudende taak. Het CBP doet dit op basis van een risicoanalyse. De ernst van de overtreding en het aantal mensen dat hierdoor wordt geraakt, zijn hierbij belangrijke criteria. Het CBP kan naar aanleiding van uw signaal een onderzoek starten. U wordt daarover in de regel niet persoonlijk geïnformeerd, tenzij uw signaal daartoe aanleiding geeft.

Meer informatie over de werkwijze van het CBP vindt u in de Beleidsregels handhaving.
Meer informatie over hoe het CBP omgaat met signalen kunt u lezen in het privacyreglement.

U heeft recht op inzage in uw persoonsgegevens bij een organisatie. Naast het inzagerecht heeft u het recht om een organisatie aanvulling, verbetering, verwijdering of afscherming van uw persoonsgegevens te verzoeken. Ook kunt u verzet aantekenen tegen bepaalde vormen van gebruik van uw gegevens door een organisatie. Informatie over het uitoefenen van deze rechten kunt u vinden in de informatiebladen Recht op Recht op inzage, Correctie van uw persoonsgegevens en Tegengaan ongevraagde reclame.