GDPR stelt dat persoonlijke gegevens nooit langer mogen worden bewaard dan strikt noodzakelijke is om het gestelde bedrijfsdoel te bereiken. Dit is natuurlijk een goede zaak om eenieders privacy te waarborgen, aangezien gegevens die werden verwijderd, niet langer gebruikt, misbruikt, blootgesteld, gehackt enz. kunnen worden.

Daarom moet u in uw privacyverklaring een bewaartermijn specificeren voor elk van de verwerkingsactiviteiten, rekening houdend met de aard van de verwerking, het zakelijke doel en uw wettelijke verplichtingen, inclusief juridische stappen. Een paar voorbeelden:

  • De wetgeving in de meeste EU-lidstaten stelt dat boekhoudkundige documenten (bijv. facturen) gedurende een periode van 7 jaar moeten worden bewaard. De bewaartermijn is hier dus 7 jaar of langer als er juridische stappen lopen.
  • Na het interviewen van sollicitanten dient men de persoonsgegevens van die sollicitanten die niet werden weerhouden te verwijderen, tenzij u toestemming van de sollicitant verkrijgt om gedurende een bepaalde periode in het dossier te blijven om in aanmerking te komen voor een toekomstige functie.
  • Bij het beĆ«indigen van een contract met een werknemer, mogen de gegevens alleen worden bewaard zolang de lokale arbeidswetgeving dit voorschrijft en eventuele juridische stappen in behandeling zijn.

Houd er ook rekening mee dat GDPR vereist dat er te allen tijde gepaste toegangscontrole aanwezig is. Wanneer een bestand met persoonlijke gegevens niet langer relevant zou zijn voor de dagelijkse bedrijfsvoering, bijv. een werknemer heeft het bedrijf verlaten, dat dan het bestand best dient gearchiveerd te worden en de toegangscontrole gewijzigd zodat minder mensen toegang hebben, aangezien dat passend is met de nieuwe relevantie voor het bedrijf. Voor meer informatie over gegevensbeveiliging raadpleeg onze kennisbank over het onderwerp.