Particulier
Zakelijk
Onroerend goed
Aanmelden
Document maken
Disclaimer
Privacyverklaring privacybeleid
Verwerkersovereenkomst
Samenwerkingsovereenkomst
Ondernemingsplan
Algemene voorwaarden
Euthanasieverklaring
Samenlevingscontract
Volmacht
Medische volmacht
Onderhandse lening
Onderhandse lening aan een bedrijf
Wilsverklaring
Licentieovereenkomst
Intentieverklaring werkgever
Overeenkomst van opdracht
Koopovereenkomst
Aanmaning
Ouderschapsplan
Schenking
Garantstelling
Overeenkomst van schuldvergelijking
Kindverklaring
Voogdijregeling
Mediationovereenkomst
Huurcontract kantoorruimte
Service level agreement sla
Huisregels
Huurcontract leegstandwet
Huurcontract woning onbepaalde tijd
Garantieverklaring
Voorlopig koopcontract
Onderhuur contract
Brief huurverhoging woonruimte
Huuropzegging woning door verhuurder
Verwerkingsregister
Voorlopige afspraken bij echtscheiding
Bezwaar huurverhoging woning
Aannemingsovereenkomst
Brief burenoverlast
Algemene voorwaarden bouw
Brief klacht kosten aannemer
Verzoek reparatie vervanging product
Indeplaatsstelling
Brief abonnement opzeggen
Onderhuurcontract bedrijfsruimte
Huurcontract garagebox parkeerplaats
Verzoek kappen boom buren
Ingebrekestelling ondeugdelijk product
Distributieovereenkomst
Brief verborgen gebreken koopwoning
Brief inbreuk auteursrecht
Antikraak overeenkomst
Akte van overdracht en levering auteursrecht
Brief ontbinding koop dienst tijdens bedenktijd herroeping
Offerte
Heroepingsformulier
Klacht dwaling brief
Verzoek aanpassing arbeidsduur
Juridische kennisbank
/
/
Hoelang mag je persoonsgegevens bewaren? Een leidraad voor 2025

Hoelang mag je persoonsgegevens bewaren? Een leidraad voor 2025

Gepubliceerd op
05
-
15
-
2025
7
min leestijd
Inhoud

We vragen ons allemaal wel eens af hoelang persoonsgegevens bewaard mogen worden? Want wie met persoonsgegevens werkt, wil het goed en veilig doen. Het antwoord is echter niet altijd zwart-wit, want de wet noemt meestal geen precieze termijn.

In dit artikel leggen we uit hoe het zit met de bewaartermijnen van persoonsgegevens binnen de financiële administratie, bij werkgevers, zorgverleners en voor camerabeelden. Ook bieden we een handige checklist voor het correct opslaan van persoonsgevens.

Waarom zijn er bewaartermijnen voor persoonsgegevens?

Bewaartermijnen voor persoonsgegevens zorgen ervoor dat organisaties persoonsgegevens niet eindeloos kunnen vasthouden. Dit beschermt de privacy van individuen, ook als de gegevens oorspronkelijk voor een ander doel zijn verzameld.

De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat persoonsgegevens niet langer mogen worden bewaard dan strikt noodzakelijk. Dit principe staat bekend als opslagbeperking. Zodra het doel waarvoor de gegevens zijn verzameld is bereikt, moeten ze worden verwijderd. Dit helpt om risico’s te voorkomen. Hoe langer gegevens immers bewaard blijven, hoe groter de kans op een datalek of misbruik. 

Volgens de AVG (ook wel GDPR genoemd) moeten organisaties bovendien kunnen aantonen waarom en hoelang zij persoonsgegevens bewaren. De AVG-bewaartermijnen verschillen immers naargelang de situatie. Hieronder vind je een overzicht :

Gegevenstype Bewaartermijn (voorbeeld)
Sollicitatiegegevens 4 weken na einde sollicitatie
Loonadministratie 7 jaar (fiscale verplichting)
Personeelsdossier 2 jaar na einde dienstverband

Bewaartermijn van persoonsgegevens binnen de financiële administratie

In Nederland geldt voor de financiële administratie een bewaarplicht van 7 jaar op basis van fiscale regelgeving. Dit betekent dat organisaties en ondernemers persoonsgegevens die deel uitmaken van de financiële administratie, zoals facturen en contracten, minimaal zeven jaar moeten bewaren. Ook persoonsgegevens die op deze documenten staan, zoals namen, adressen en betalingsgegevens, vallen onder deze verplichting. 

Sommige gegevens rond onroerende zaken, zoals onroerend goed, moeten zelfs 10 jaar worden bewaard. Dit is een uitzondering op de standaard.

Hieronder vind je een handig overzicht:

Type gegevens Bewaartermijn
Financiële administratie 7 jaar
Onroerende zaken 10 jaar
Let erop dat na het verlopen van de genoemde termijnen de persoonsgegevens veilig verwijderd of vernietigd moeten worden. Het is niet toegestaan om de gegevens langer dan strikt noodzakelijk te bewaren. Na afloop van de wettelijk verplichte periode moeten deze gegevens dus daadwerkelijk uit de administratie worden verwijderd.

Bewaartermijn van persoonsgegevens bij werkgevers

Werkgevers verwerken allerlei persoonsgegevens van medewerkers en klanten. Het is daarom belangrijk om te weten hoelang deze gegevens wettelijk bewaard mogen worden.

Volgens de AVG mogen persoonsgegevens niet langer worden bewaard dan nodig is voor het doel waarvoor ze zijn verzameld.

Voor veel gegevens uit het personeelsdossier geldt een bewaartermijn van maximaal 2 jaar na het einde van het dienstverband. Daarna moeten deze gegevens verwijderd worden, tenzij er een wettelijke reden is om ze langer te bewaren. Zo moeten bijvoorbeeld fiscale administratie en loonbelastingverklaringen 7 jaar bewaard worden vanwege de fiscale bewaarplicht. Dit geldt ook voor documenten zoals kopieën van identiteitsbewijzen. 

Een handig overzicht vind je hieronder:

Type persoonsgegevens Bewaartermijn
Personeelsdossier 2 jaar
Fiscale gegevens/salarisadministratie 7 jaar
Kopie ID-bewijs 5 jaar (na uitdiensttreding)
Beoordelings- en functioneringsverslagen 2 jaar

Voor klantgegevens geldt volgens de AVG geen vaste bewaartermijn, maar ook hier geldt het principe om de persoonsgevens niet langer dan nodig te bewaren. Zodra het doel (zoals het leveren van een dienst) is vervallen, moeten de gegevens worden verwijderd.

Controleer altijd goed of er andere, specifieke wetgeving geldt voor bepaalde gegevens, zoals die van medische dossiers of financiële administratie.

Bewaartermijn van persoonsgegevens bij zorgverleners

Zorgverleners moeten zich houden aan een specifieke regel voor het bewaren van persoonsgegevens uit medische dossiers. Volgens de Nederlandse wet moet een zorgaanbieder, zoals een huisarts of ziekenhuis, het medisch dossier minimaal 20 jaar bewaren na het laatste contact met de patiënt.

Deze termijn zorgt ervoor dat belangrijke medische informatie beschikbaar blijft voor toekomstige behandelingen en eventuele juridische kwesties. Na deze periode mogen de persoonsgegevens in principe worden verwijderd, tenzij er een gegronde reden is om het dossier langer te bewaren.

Voorbeelden van redenen om persoonsgegevens langer te bewaren zijn:

  • een lopend juridisch geschil;
  • specifieke afspraken met de patiënt;
  • wetten die een langere termijnen opleggen.

Hieronder vind je een schematisch overzicht:

Gegevenstype Bewaartermijn
Medisch dossier Minimaal 20 jaar
Overige gegevens Zolang noodzakelijk is

De AVG schrijft geen concrete bewaartermijn voor persoonsgegevens buiten medische dossiers, maar schrijft wel voor dat deze niet langer dan strikt noodzakelijk bewaard mogen worden. Zorgverleners bepalen dus zelf, op basis van redelijke overwegingen, hoelang ze andere persoonsgegevens bewaren.

Als een patiënt vraagt om zijn of haar persoonsgegevens te verwijderen, moet de zorgverlener altijd eerst nagaan of de wettelijke bewaartermijn al is verstreken voordat tot verwijdering wordt overgegaan.

Bewaartermijn van persoonsgegevens voor camerabeelden en digitale registraties

Ook camerabeelden bevatten persoonsgegevens en vallen dus onder de regels van de AVG. Volgens de geldende richtlijnen mogen camerabeelden maximaal 4 weken bewaard worden. Alleen als er binnen deze periode een incident, zoals diefstal of schade, is vastgelegd, mogen de beelden langer bewaard worden, bijvoorbeeld voor een onderzoek. Anders moeten de organisaties de camerabeelden verwijderen zodra de bewaartermijn is verstreken. Dit voorkomt onnodige privacyrisico’s en zorgt ervoor dat je voldoet aan de wetgeving.

Digitale registraties, zoals toegangscontrole of bezoekersregistratie, moeten net zo zorgvuldig worden behandeld. De bewaartermijn is vaak afhankelijk van het doel waarvoor de gegevens zijn verzameld. Zodra dat doel is behaald of vervallen, moeten de gegevens worden verwijderd.

Hier heb je de regels op een rijtje:

  • Camerabeelden: maximaal 4 weken
  • Incident vastgelegd?: bewaren zolang het onderzoek loopt
  • Digitale registratie: beperkt tot het doel is gerealiseerd

Geef alle afspraken over bewaartermijnen weer in een overzicht of tabel, zodat iedereen binnen de organisatie deze eenvoudig kan naleven.

Type Gegevens Maximale Bewaartermijn
Camerabeelden 4 weken
Registraties (digitaal) Zolang het doel geldt
Incident vastgelegd Zo lang als nodig

Wat gebeurt er als de bewaartermijn wordt overschreden?

Als persoonsgegevens langer dan noodzakelijk bewaard worden, is dat in strijd met de AVG. Dit heet een overtreding van de opslagbeperking.

Organisaties zijn verplicht om gegevens te wissen of te anonimiseren zodra de bewaartermijn verstreken is. Bij niet-naleving kan de Autoriteit Persoonsgegevens (AP) ingrijpen. Dit kan leiden tot een onderzoek en sancties, zoals waarschuwingen, boetes of verplichte aanpassingen van de processen.

Mogelijke gevolgen bij overschrijding zijn onder andere:

  • Boetes die oplopen tot miljoenen euro’s
  • Verlies van vertrouwen bij klanten
  • Negatieve publiciteit
  • Verplichte maatregelen om beleid aan te passen

Het recht op vergetelheid komt ook om de hoek kijken. Betrokkenen kunnen bij overschrijding verzoeken om verwijdering van hun persoonsgegevens.

Overtreding Gevolg
Bewaren na termijn Boete, controle door de AP
Niet wissen of anonimiseren Klachten, extra toezicht
Onzorgvuldig beleid Vertrouwensverlies, negatieve media

Checklist voor het correct opslaan van persoonsgegevens

Als je persoonsgegevens verwerkt, wil je zeker weten dat je dit op de juiste manier doet. Gebruik deze checklist om te kijken of jij alles op orde hebt.

1. Bepaal het doel van opslag

Bepaal vooraf het specifieke doel van de gegevensverwerking en verzamel uitsluitend persoonsgegevens die noodzakelijk zijn voor dit doel. Dit sluit aan bij het dataminimalisatiebeginsel van de AVG.

2. Stel duidelijke bewaartermijnen vast

De AVG bepaalt geen vaste bewaartermijnen, maar vereist wel dat organisaties voor elk type persoonsgegeven een bewaartermijn vastleggen. Deze bewaartermijnen moeten worden gedocumenteerd, bijvoorbeeld in een verwerkingsregister.

3. Beperk de toegang tot persoonsgegevens

Verleen alleen toegang tot persoonsgegevens aan medewerkers voor wie dit noodzakelijk is voor de uitvoering van hun taken. Dit beperkt het risico op onbevoegde toegang of misbruik.

4. Zorg voor veilige opslag

Gebruik voor de verwerking van persoonsgegevens beveiligde systemen en pas  waar mogelijk versleuteling toe. Voer daarnaast regelmatig securitytests uit om te controleren of de beveiligingsmaatregelen nog voldoen.

5. Verwijder gegevens wanneer de bewaartermijn verstreken is

Voer periodieke controles uit op de bewaartermijnen van persoonsgegevens en verwijder deze tijdig volgens de vastgestelde termijnen. Dit voorkomt onnodige bewaring van gegevens en zorgt dat je voldoet aan de AVG-vereisten.

6. Informeer betrokkenen

Informeer betrokkenen over de bewaartermijn van hun persoonsgegevens, bijvoorbeeld via de privacyverklaring. Zo voldoe je aan de transparantieverplichting uit de AVG.

Belangrijkste punten

Volgens de AVG mogen persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk is voor het vooropgestelde doel. 

Alleen in specifieke gevallen, zoals bij fiscale verplichtingen, gelden vaste bewaartermijnen, bijvoorbeeld zeven jaar voor factuurgegevens. 

Het is belangrijk om in je privacyverklaring duidelijk te vermelden hoelang je de persoonsgegevens bewaart en wanneer je ze verwijdert of anonimiseert. 

Zo voldoe je niet alleen aan de wet, maar waarborg je ook de transparantie naar alle betrokkenen.

Veelgestelde vragen

Welke gegevens worden beschouwd als persoonsgegevens?

Persoonsgegevens zijn alle informatie die direct of indirect herleidbaar is tot een natuurlijk persoon. Dit omvat niet alleen voor de hand liggende gegevens zoals naam, adres, geboortedatum en burgerservicenummer, maar ook gegevens als e-mailadressen, IP-adressen, kentekens, locatiegegevens en biometrische kenmerken. Zelfs informatie die op zichzelf niet identificerend is, kan als persoonsgegeven worden beschouwd als deze in combinatie met andere gegevens tot een persoon te herleiden is.

Hoe kunnen persoonsgegevens veilig verwijderd worden?

Persoonsgegevens kunnen veilig worden verwijderd door gebruik te maken van methoden die zorgen dat de gegevens niet meer te herstellen zijn. Bij digitale gegevens betekent dit bijvoorbeeld het veilig wissen of overschrijven van bestanden met gespecialiseerde software of het fysiek vernietigen van opslagmedia. Voor papieren documenten geldt dat deze versnipperd, verbrand of professioneel vernietigd moeten worden. Het is belangrijk om te controleren of alle kopieën, back-ups en gekoppelde systemen ook worden opgeschoond om te voorkomen dat de gegevens alsnog terugkomen.

Mag je eisen dat je persoonsgegevens worden verwijderd voordat de bewaartermijn ten einde loopt? 

Nee, je kunt niet eisen dat je persoonsgegevens worden verwijderd als er nog een geldige wettelijke bewaartermijn van toepassing is. De AVG geeft je wel het recht om je gegevens te laten wissen (het 'recht op vergetelheid'), maar dit geldt niet wanneer de gegevens nog nodig zijn om te voldoen aan een wettelijke verplichting, zoals de fiscale bewaarplicht of de bewaartermijn voor medische dossiers. Pas nadat deze termijn is verstreken, kun je verwijdering van je gegevens afdwingen.

Wat is het recht op vergetelheid?

Het recht op vergetelheid, ook wel het recht op gegevenswissing genoemd, is een van de rechten die de Algemene Verordening Gegevensbescherming (AVG) aan individuen biedt. Het stelt mensen in staat om hun persoonsgegevens te laten verwijderen, bijvoorbeeld wanneer deze niet meer nodig zijn voor het doel waarvoor ze zijn verzameld, of wanneer ze onterecht zijn verwerkt. Dit recht geldt echter niet in alle gevallen, bijvoorbeeld als de gegevens nog noodzakelijk zijn voor het voldoen aan een wettelijke verplichting of voor het uitoefenen van rechtmatige belangen. Het recht op vergetelheid is bedoeld om de privacy van individuen te beschermen door hen meer controle te geven over hun persoonlijke gegevens.

Veelgestelde vragen

No items found.
Maak juridische documenten snel en makkelijk
Geen dure advocaten meer nodig – juridisch goedgekeurde documenten zelf maken
Altijd en overal ter wereld te gebruiken
Up-to-date gepersonaliseerde juridische documenten
Document maken
Sluit voorbeeld
Document Popup Title
Dit is een voorbeeld. Het uiteindelijke document wordt aangepast op basis van de informatie die je in de volgende stappen verstrekt.
Document maken