Verwerkingsregister documentatieplicht

Bewaartermijnen in je verwerkingsregister: hoe lang mag je welke gegevens bewaren?

Eva de Vries Eva de Vries
· · 8 min leestijd

Stel je voor: je hebt een schoenendoos vol met oude bonnetjes, klantgegevens en sollicitatiebrieven. Die doos staat al jaren op zolder.

Inhoudsopgave
  1. De gouden regel: zo kort mogelijk, maar zo lang als nodig
  2. De vragen die je helderheid geven
  3. Praktische voorbeelden: hoe lang mag wat?
  4. Hoe zet je dit in je verwerkingsregister?
  5. Automatiseer het schoonmaken
  6. Conclusie: opruimen is verantwoordelijkheid
  7. Veelgestelde vragen

Waarom bewaar je het eigenlijk? Geen idee, maar wegdoen voelt eng.

Zo werkt het helaas niet als het om persoonsgegevens gaat. Je digitale schoenendoos – oftewel je verwerkingsregister – moet opgeruimd en overzichtelijk zijn. Anders loop je het risico op een boete van de Autoriteit Persoonsgegevens (AP). Laten we helder maken hoe lang je wat mag bewaren, zonder ingewikkelde juridische taal.

De gouden regel: zo kort mogelijk, maar zo lang als nodig

De Algemene Verordening Gegevensbescherming (AVG) heeft één simpel uitgangspunt: bewaar persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor je ze hebt verzameld. Er is geen magische formule of vaste tabel die voor elke situatie werkt.

Jij bepaalt wat logisch is voor jouw organisatie. Vraag jezelf af: waarom bewaar ik dit?

Als het antwoord "omdat het altijd zo is geweest" is, is het tijd om op te ruimen. De kunst is om voor elk soort gegevens een concrete termijn te plakken. Dat maakt je verwerkingsregister niet alleen AVG-proof, maar ook enorm overzichtelijk.

De vragen die je helderheid geven

Er is geen standaardlijstje, maar je kunt jezelf een paar scherpe vragen stellen om tot een goede bewaartermijn te komen. Dit zijn je kompas.

Is er een wettelijke plicht?

Soms ben je verplicht om gegevens te bewaren. Dit is de makkelijkste vraag, want hier heb je geen keuze in.

De wet zegt hoe lang het moet. Een klassieker is de fiscale bewaarplicht. Facturen, loonstrookjes en financiële administratie moet je in Nederland standaard zeven jaar bewaren.

Hoe lang duurt je dienstverlening?

Die termijn komt vanuit de Belastingdienst en de Archiefwet. Als er een juridische procedure loopt, bewaar je de betreffende gegevens uiteraard ook totdat de kous af is.

Kijk naar de relatie met je klant of medewerker. Als je een abonnementsdienst hebt, bewaar je de gegevens zolang de klant actief is. Zegt de klant op? Dan begint de teller te lopen.

Wat is de context van de gegevens?

Je mag de gegevens nog even bewaren voor de financiële afhandeling, maar daarna moeten ze weg.

Voor een sollicitant die het niet is geworden, geldt een veel kortere termijn. Je mag de gegevens maximaal vier weken na afwijzing bewaren, tenzij je toestemming hebt gekregen om ze langer te bewaren voor een toekomstige vacature. Sommige gegevens zijn gevoeliger dan andere.

Medische gegevens van een patiënt bewaar je volgens specifieke wetten (zoals de Wet geneeskundige behandelingsovereenkomst), vaak langer dan je denkt. Maar een marketingdatabase met e-mailadressen?

Die mag je veel sneller schoonmaken. Een handige vuistregel: bewaar gegevens niet langer dan je ze echt actief gebruikt. Als je een klant al drie jaar niet hebt gemaild, is het tijd om ze te verwijderen of expliciet toestemming te vragen om ze te mogen blijven benaderen.

Praktische voorbeelden: hoe lang mag wat?

Om het tastbaar te maken, hier een paar voorbeelden van bewaartermijnen die vaak voorkomen. Deze zijn geen wet, maar een handig startpunt voor je verwerkingsregister voorbeeld voor een zorgpraktijk.

Financiële gegevens en facturen

Zeven jaar. Dat is de heilige graal voor financiële data in Nederland.

Medewerkers en sollicitanten

  • Medewerkers: De personeelsdossier mag je bewaren tot vijf jaar na beëindiging van het dienstverband. Daarna moeten ze weg.
  • Sollicitanten: Zoals gezegd: maximaal vier weken na de afwijzing. Wil je ze langer bewaren voor toekomstige vacatures? Vraag dan expliciet toestemming.

Klantgegevens en marketing

Of het nu gaat om klantfacturen, leveranciersfacturen of loonadministratie: zeven jaar bewaren is de standaard vanwege de belastingwetgeving. Na zeven jaar mag je ze veilig vernietigen, tenzij er een specifieke reden is om ze langer te bewaren (bijvoorbeeld een lopend geschil). Hier is flexibiliteit belangrijk.

Voor klantgegevens die nodig zijn voor de uitvoering van een overeenkomst (bijvoorbeeld een bestelling), bewaar je ze zolang de overeenkomst loopt plus de tijd voor garantie en financiële afhandeling. Daarna? Verwijderen. Tenzij je een legitieme reden hebt om ze langer te bewaren. Voor marketinggegevens geldt: bewaar ze niet langer dan nodig voor je campagnes.

Gevoelige gegevens

Als je een nieuwsbrief verstuurt, bewaar je het e-mailadres zolang de persoon geabonneerd is. Zeggen ze op? Verwijderen of anonymiseren.

Gegevens over gezondheid, ras, religie of strafrechtelijke gegevens zijn bijzondere persoonsgegevens. Deze mag je alleen bewaren als het echt niet anders kan en je extra maatregelen neemt. De bewaartermijn hangt af van de specifieke wetgeving, maar de algemene regel blijft: zo kort mogelijk.

Hoe zet je dit in je verwerkingsregister?

Een verwerkingsregister is je sjabloon voor helderheid. Voor elke verwerking (bijvoorbeeld 'klantadministratie' of 'sollicitatieprocedure') vul je in hoe lang je de gegevens bewaart. Wees specifiek.

Voorbeeld: in plaats van 'klantgegevens bewaren', schrijf je: 'Klantgegevens bewaren voor de duur van de overeenkomst en zeven jaar daarna voor fiscale doeleinden.'

Dit maakt het niet alleen controleerbaar, maar ook makkelijker om te verantwoorden als de Autoriteit Persoonsgegevens vraagt hoe je omgaat met data.

Automatiseer het schoonmaken

Je hoeft niet alles handmatig bij te houden. Gebruik systemen die automatisch gegevens verwijderen na een bepaalde termijn.

Bijvoorbeeld in je CRM-systeem of e-mailmarketingtool. Stel triggers in: na zeven jaar verwijderen, of na drie jaar inactief zijn. Dit voorkomt dat je ongemerkt gegevens blijft bewaren die allang hadden moeten verdwijnen. Het bespaart je ook opslagruimte en maakt je data schoner en veiliger.

Conclusie: opruimen is verantwoordelijkheid

Bewaartermijnen zijn geen bijzaak; ze zijn essentieel voor privacy en compliantie. Door scherp te zijn op wat je bewaart en hoe lang, voorkom je problemen en bouw je vertrouwen op met je klanten en medewerkers.

Begin met de vragen: waarom bewaar ik dit, en hoelang is het echt nodig? Stel je verwerkingsregister stap voor stap op en maak het tot een gewoonte om jaarlijks te checken. Zo houd je je digitale schoenendoos opgeruimd en voldoe je moeiteloos aan de AVG.

Veelgestelde vragen

Wat zijn de wettelijke bewaartermijnen voor gegevens?

De AVG stelt dat je persoonsgegevens niet langer mag bewaren dan nodig is voor het beoogde doel. Naast de AVG gelden er wettelijke bepalingen, zoals de belastingwetgeving die vereist dat je facturen, loonstroken en financiële administratie minimaal zeven jaar bewaart. Het is dus belangrijk om te kijken naar de specifieke wetgeving die van toepassing is op jouw situatie.

Wat zijn de vereisten voor een verwerkingsregister?

Je verwerkingsregister moet minimaal je bedrijfsnaam en contactgegevens bevatten, evenals informatie over welke andere organisaties je gegevens deelt en hoe. Dit register helpt je om overzicht te houden over welke gegevens je verwerkt en waarvoor, en is essentieel voor het voldoen aan de AVG-eisen.

Welke gegevens kun je 7 jaar bewaren?

In Nederland is het verplicht om de basisgegevens uit je administratie, zoals debiteuren- en crediteurenadministratie, in- en verkoopadministratie en het grootboek, zeven jaar te bewaren. Na deze termijn kun je afspraken maken over kortere bewaartermijnen voor andere gegevens, afhankelijk van de context.

Wat is de wettelijke bewaartermijn voor archiefstukken?

Over het algemeen gelden bewaartermijnen van 10 jaar vanaf het moment dat de persoonsgegevens zijn verwerkt. Archiefstukken moeten dan op een manier worden bewaard dat ze nog steeds raadpleegbaar zijn, zodat ze later nog steeds gebruikt kunnen worden bij eventuele controles of juridische procedures.

Hoe lang is de bewaartermijn van de gegevens?

Afhankelijk van de context, moeten essentiële onderzoeksgegevens gedurende minimaal zeven jaar na het einde van het onderzoeksproject of de activiteit worden bewaard. Bij sollicitatieprocedures geldt bijvoorbeeld een kortere termijn van vier weken na afwijzing, tenzij er toestemming is voor een langere bewaartermijn voor toekomstige vacatures.

Lees ook
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden? Hoe maak je stap voor stap een verwerkingsregister als ZZP'er in 2026? Welke gegevens horen er precies in een verwerkingsregister thuis? Verwerkingsregister voorbeeld voor een kleine webshop in Nederland Verwerkingsregister voorbeeld voor een freelance marketeer of tekstschrijver Verwerkingsregister voorbeeld voor een kapper of schoonheidssalon
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkingsregister documentatieplicht

Bekijk alle 38 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden?
Lees verder →