Bewaartermijnen

bijgewerkt op 23 april 2024

Het bewaren van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More is gebonden aan regels. Hoelang je sommige gegevens mag bewaren, hangt af van de wet waar ze onder vallen. Denk bijvoorbeeld aan de AVG, onderwijswetten of de ArchiefwetDe Archiefwet is een Nederlandse wet die het beheer en de toegang van overheidsarchieven regelt. More. Om te bepalen hoe lang je gegevens mag bewaren, is een Bewaartermijnenoverzicht gemaakt. Daarin vind je voor verschillende gegevens de wettelijke bewaartermijnenDe (wettelijke) periode dat een (persoons)gegeven bewaard moet worden. More of een richtlijn voor het bewaren van gegevens.

Op scholen worden veel gegevens bewaard over leerlingen en hun oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. More. Daarnaast heb je te maken met een financiële administratie, een inkoopadministratie en een personeelsadministratie. Al deze gegevens zijn nodig voor een bepaald doel, maar ze mogen niet oneindig lang worden bewaard. Voor ieder gegeven dat wordt opgeslagen, geldt een bepaalde bewaartermijn. Na verloop van die periode moeten de gegevens worden vernietigd.

Persoonsgegevens mogen volgens de AVG niet langer worden bewaard dan noodzakelijk, maar de AVG geeft geen bewaartermijnen. In andere specifieke wet- en regelgeving staan wel bewaartermijnen. Dit noemen we wettelijke bewaartermijnen.

Onderwijswetgeving bepaalt hoelang bepaalde gegevens over leerlingen en hun schoolloopbaan moeten worden bewaard.
Het Burgerlijk Wetboek geeft regels voor het bewaren van financiële administratie en jaarrekeningen.
Fiscale wetgeving geeft regels voor het bewaren van facturen.

Als er geen wettelijke bewaartermijn bestaat, geldt de hoofdregel van de AVG: niet langer bewaren dan noodzakelijk. Je zult dan zelf moeten bepalen hoelang je persoonsgegevens bewaart.

Om scholen te ondersteunen bij het bepalen van bewaartermijnen, is een Bewaartermijnenoverzicht gemaakt. Hierin staan persoonsgegevens centraal, maar het biedt ook hulp bij het bepalen van bewaartermijnen voor andere informatie, als dat relevant is. In het Bewaartermijnenoverzicht vind je:

wettelijke bewaartermijnen voor persoonsgegevens
richtlijnen voor het bewaren van gegevens wanneer er geen wettelijke bewaartermijn bestaat

Is het wettelijk verplicht?

De AVG verplicht het hanteren van bewaartermijnen. Deze kunnen voortvloeien uit de AVG zelf (niet langer bewaren dan noodzakelijk) of uit andere wetgeving, zoals de Archiefwet, onderwijswetten, arbeidsrechtelijke en financiële wetten.

Meer informatie vind je in artikel 5.1 lid e van de AVG.

Let op: In het kader van de Archiefwet moeten onderwijsinstellingen belangrijke documenten bewaren. Welke documenten dat zijn en hoelang ze moeten worden bewaard, is vastgelegd in zogeheten selectielijsten. Nu zijn schoolbesturen en samenwerkingsverbanden zelf verplicht om deze samen te stellen. De vernieuwde Archiefwet, die waarschijnlijk in 2026 ingaat, maakt het mogelijk dat de PO-Raad en VO-raad een selectielijst opstellen die geldt voor de gehele sector, een zogenoemd groepsselectielijst. In hoeverre jouw schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More onder de Archiefwet valt en voor welke gegevens en documenten lees je op de website van de PO-Raad en VO-raad.

Kennisnet raadt aan voorlopig geen documenten en persoonsgegevens te vernietigenHet definitief verwijderen van gegevens, zodat de persoonsgegevens niet meer aanwezig of terug te halen zijn. More die behoren bij de openbaar gezagtaken van schoolbesturen en daarom onder de Archiefwet vallen. Denk aan examens, diploma’s, cijferlijsten en besluiten tot verlenen van vrijstelling op grond van de Leerplichtwet. In het kader van de Archiefwet moeten deze belangrijke documenten worden bewaard. Bewaar ze op een aparte, extra beveiligde plek, waar alleen een selecte groep medewerkers toegang toe heeft. Zodra de selectielijst is vastgesteld door de minister en gepubliceerd in de Staatscourant, kun je de bewaartermijnen uit de lijst gaan toepassen.

Wat zegt het Normenkader IBP FO?

Het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP FO) beschrijft in domein 9 de normen voor datamanagement. Het hanteren van bewaartermijnen is hier onderdeel van. De stappenplannen op deze pagina ondersteunen je bij de uitwerking van normen DM.02 en DM.04. We gaan er in deze stappenplannen van uit dat je al data- en systeemeigenaren hebt aangewezen, in lijn met norm DM.01.

Zodra het privacydeel van het Normenkader IBP is gepubliceerd, voegen we die normen toe op deze pagina zodat je ook weet aan welke privacynormen je werkt.

Toetsingskader bij norm DM.02

Er zijn een dataclassificatieschema en richtlijnen voor het gebruik daarvan geïmplementeerd en toegepast binnen de hele organisatie.
Eigendom van data, definities en eisen voor verschillende niveaus van dataclassificatie worden allemaal nadrukkelijk beschreven in de richtlijnen.
De richtlijnen worden gebruikt als een basis voor het toepassen van de benodigde (cyber) beheersmaatregelen voor kritische businessprocessen en/of applicaties.
Het classificatieschema is goedgekeurd door het bevoegd gezag.

Toetsingskader bij norm DM.04

Er zijn formele procedures en richtlijnen voor het opslaan, bewaren en archiveren van data.
In lijn met bedrijfsvoering zijn er eisen gesteld aan het opslaan, bewaren en archiveren van data (technieken) en deze zijn geïmplementeerd.
Er is voor gezorgd dat deze eisen in overeenstemming zijn met (informatie)beveiligings- beleid, contractuele afspraken en wet- en regelgeving.

Wie doet wat?

Bij het vaststellen van bewaartermijnen zijn verschillende rollen betrokken met elk hun eigen taken:

Het schoolbestuur stelt het Bewaartermijnenbeleid vast.
De IBP-verantwoordelijke, zoals de ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More of Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More, adviseert over het vaststellen van de bewaartermijnen.
Data-eigenaren bepalen wat er wel en niet met bepaalde data mag gebeuren, zoals leerlinggegevens, financiële gegevens en HR-gegevens. Zij bepalen voor hun data de bewaartermijnen en nemen deze op in het Bewaartermijnenbeleid. In de praktijk zijn bijvoorbeeld de manager bedrijfsvoering, het hoofd financiën en de HR-manager een data-eigenaar.

Bij het bewaren en vernietigen van persoonsgegevens zijn deze rollen betrokken met elk hun eigen taken:

De ict-coördinator of de Privacy Officer stelt de procedure op voor het vernietigen van persoonsgegevens waarvan de bewaartermijn is verstreken en draagt systeemeigenaren van applicaties op die procedure te volgen voor de data in hun applicaties.
De systeemeigenaar, vaak het hoofd ict, past de procedure voor het vernietigen van persoonsgegevens toe. In de praktijk betekent dit dat de systeemeigenaar de functioneel beheerder van het systeem (de applicatie) de opdracht geeft om de gegevens waarvan de bewaartermijn is verstreken, te verwijderen. De systeemeigenaar informeert de FG en de relevante data-eigenaren over de verwijdering.
De FG controleert of de persoonsgegevens zijn verwijderd en rapporteert aan het college van bestuur (CvB).

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag: vaststellen van bewaartermijnen

Hoe stel je een bewaartermijn vast? De data-eigenaren en IBP-verantwoordelijke kunnen het volgende stappenplan volgen.

Stap 1 | Zoek de wettelijke bewaartermijn op in het Bewaartermijnenoverzicht

Zoek in de tool Bewaartermijnenoverzicht of er een specifieke wettelijke bewaartermijn geldt. Houd in dat geval die termijn aan. Als er een wettelijke bewaartermijn bestaat, dan geldt deze termijn als minimale én maximale bewaartermijn.

Stap 2 | Geen wettelijke bewaartermijn? Gebruik dan de richtlijn

Als er geen wettelijke bewaartermijn geldt, dan is er een richtlijn voor het bewaren van (persoons)gegevens.

Zoek in de tool Bewaartermijnenoverzicht of er een specifieke richtlijn geldt. Houd dan die termijn aan. Heb je belangrijke argumenten om hiervan af te wijken, onderbouw dit dan in het Bewaartermijnenbeleid (op basis van het principe comply or explain).

Stap 3 | Geen richtlijn? Volg dan de AVG

Als er geen wettelijke bewaartermijn of richtlijn geldt, dan geldt de hoofdregel van de AVG: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel waarvoor de persoonsgegevens worden verwerkt. Heb je de gegevens niet langer nodig, dan moet je de (persoons)gegevens vernietigen. Stel zelf vast wat een passende bewaartermijn is.

Stap 4 | Neem de bewaartermijnen op in een Bewaartermijnenbeleid en stel dit beleid vast

Leg voorgaande stappen vast in het Bewaartermijnenbeleid. Geef aan welk termijn geldt voor de informatie waarvoor geen wettelijke bewaartermijn of richtlijn van toepassing is, of waar je eventueel afwijkt van de richtlijnen. Motiveer en documenteer de keuze voor de bewaartermijn in het Bewaartermijnenbeleid. Gebruik hiervoor het template Bewaartermijnenbeleid.

Stap 5 | Vraag de (G)MR om instemming

Leg het Bewaartermijnenbeleid, nadat het is vastgesteld door het CvB, ter instemming voor aan de (G)MR.

Stap 6 | Controleer periodiek het Bewaartermijnenbeleid

Controleer minimaal jaarlijks of het Bewaartermijnenbeleid actueel is en de verantwoordelijkheden juist zijn belegd. De FG controleert het beleid en de IBP-verantwoordelijke wijzigt bewaartermijnen naar aanleiding van nieuwe wet- en regelgeving. De bestuurder stelt het beleid dan opnieuw vast.

Aan de slag: bewaren en vernietigen van persoonsgegevens

Het bewaren en vernietigen van persoonsgegevens kan op verschillende manieren. In dit stappenplan geven we een voorbeeld van een mogelijke werkwijze.

Stap 1 | Breng in kaart welke persoonsgegevens je verzamelt

Om te bepalen hoelang je gegevens mag bewaren, moet je een beeld hebben van welke gegevens je verzamelt en in welke systemen deze informatie is opgeslagen. Stel daarom eerst vast welke (persoons)gegevens in welke systemen zitten en neem ook gegevens mee die niet digitaal zijn opgeslagen, zoals papieren dossiers in archiefkasten. Maak hiervoor gebruik van het register van verwerkingen (dataregisterHet dataregister is een register van verwerkingsactiviteiten speciaal voor het onderwijs. Het dataregister is voor een gedeelte al ingevuld en van suggesties voorzien. More). In dit register staat vermeld welke categorieën van persoonsgegevens je school verwerkt.

Stap 2 | Stel een procedure vast voor het vernietigen van gegevens

Leg vast hoe de vernietiging van gegevens praktisch is geregeld. Daarmee borg je de uitvoering van het Bewaartermijnenbeleid. Stel een procedure op waarin staat wie wat doet en wanneer. Voeg deze procedure eventueel als bijlage bij het Bewaartermijnenbeleid.

Stap 3 | Stel bewaartermijnen waar mogelijk automatisch in

De functioneel (applicatie)beheerder stelt de instellingen voor bewaartermijnen in het systeem juist in.

Stap 4 | Verwijder (persoons)gegevens op tijd

De functioneel (applicatie)beheerder voert op de afgesproken tijd(en) de verwijderacties uit. De (applicatie)beheerder rapporteert de verwijder-actie aan de systeemeigenaar. Zorg ervoor dat ook papieren gegevens op tijd worden vernietigd volgens de hiervoor vastgestelde bewaartermijn.

Stap 5 | Houd toezicht, controleer en rapporteer

De systeemeigenaar houdt toezicht op het tijdig vernietigen van gegevens.

De functionaris voor gegevensbeschermingIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). More (FG) controleert in afstemming met de systeemeigenaar en functioneel (applicatie)beheerder of persoonsgegevens volgens het vastgestelde beleid zijn verwijderd. De FG rapporteert hierover aan de systeemeigenaar en het CvB.

Stap 6 | Evalueer periodiek het proces van bewaren en vernietigen van persoonsgegevens

Controleer minimaal jaarlijks of het proces van bewaren en vernietigen van persoonsgegevens actueel is en de verantwoordelijkheden bij de juiste personen zijn belegd.

Hou rekening met

Back-up en recovery

Kijk goed naar de manier waarop je school back-ups maakt van gegevens. Wanneer gegevens volgens het Bewaartermijnenbeleid uit systemen worden verwijderd, staan ze soms nog steeds in een back-up. Ze zijn dus nog niet definitief verwijderd. Terwijl het uitgangspunt is dat persoonsgegevens ook uit back-ups moeten worden verwijderd.

Soms is het technisch niet mogelijk om specifieke gegevens uit een back-up te verwijderen, maar alleen de hele back-up te vernietigen. Dat is niet wenselijk. In dat geval kun je besluiten om de back-up niet te verwijderen, mits je aan bepaalde voorwaarden voldoet:

Houd bij welke gegevens uit de back-up verwijderd hadden moeten worden.
Verwijder deze gegevens alsnog bij het terugzetten van de back-up.

Op deze manier voldoe je aan de bewaartermijnen en de tijdige vernietiging van gegevens. Neem het back-up beleid op in de procedure voor het verwijderen en opschonen van gegevens.

Papieren en digitale informatie

Informatie kan in verschillende vormen voorkomen, zoals digitaal of op papier. Volgens Europese regels mag je (persoons)gegevens die op papier zijn ontvangen gedigitaliseerd bewaren. Daarna mag je het papieren document vernietigen. Het is wel belangrijk dat de digitale kopie exact overeenkomt met het papieren document en dezelfde informatie bevat.

Anonimiseren

Gegevens die nodig zijn voor beleid of analyse-doeleinden mag je langer bewaren als ze geanonimiseerd worden. AnonimiserenAnonimiseren is een methode waarbij persoonsgegevens worden bewerkt zodat ze niet meer gebruikt kunnen worden om iemand mee te identificeren. Anonimiseren is onomkeerbaar. De gegevens kunnen dus nooit meer worden teruggeleid tot een persoon. Geanonimiseerde gegevens vallen niet onder de AVG. More betekent dat je de persoon-identificerende informatie verwijdert uit het bestand. Bijvoorbeeld door de NAW-gegevens en geboortedatum, leerlingnummer en BSN/PGN te verwijderen. Het uitgangspunt is dat de geanonimiseerde informatie niet langer te herleiden is tot personen en dat dit proces onomkeerbaar is. De ‘sleutel’ om de gegevens (bijv. via een combinatie met andere gegevens) weer terug te herleiden naar personen moet zogezegd weggegooid zijn. Geanonimiseerde gegevens zijn geen persoonsgegevens meer en de AVG is hierop niet van toepassing. Dit in tegenstelling tot ‘gepseudonimiseerde gegevens’, hiervan is de sleutel om de gegevens terug te herleiden naar personen nog wel beschikbaar en is de AVG dus van toepassing.

Rechten van betrokkenen: recht op inzage (persoons)gegevens

BetrokkenenDe personen van wie persoonsgegevens worden verwerkt. More hebben het recht om hun persoonsgegevens in te zien. Een leerling vanaf 16 jaar heeft bijvoorbeeld recht op inzageDe mogelijkheid die betrokkenen hebben om hun eigen persoonsgegevens in te zien of een overzicht te krijgen van de persoonsgegevens die worden verwerkt. More in al zijn persoonsgegevens. Onder de 16 jaar hebben de wettelijk vertegenwoordigers recht op inzage in die gegevens. Inzage geven in het leerlingdossier uit de leerlingadministratie is soms niet voldoende: ook op andere plekken heeft de school vaak informatie over leerlingen opgeslagen, bijvoorbeeld in een leerlingvolgsysteem of in een SharePoint-omgeving. Lees meer over de rechten van betrokkenen.

Rechten van betrokkenen: recht op verwijdering

Onder bepaalde omstandigheden mag een betrokkene of de wettelijk vertegenwoordigerEen in de EU gevestigde natuurlijke persoon of rechtspersoon die door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen. More, de school verzoeken om de persoonsgegevens te laten verwijderen. Het is belangrijk om te weten dat dit geen absoluut recht is dat altijd gehonoreerd moet worden. Als de school bijvoorbeeld wettelijk verplicht is om bepaalde persoonsgegevens gedurende een termijn te bewaren, dan kan zij het verzoek gemotiveerd afwijzen. Denk bijvoorbeeld aan de verplichting van basisscholen om het onderwijskundig rapport gedurende 5 jaar na uitschrijving van de leerling te bewaren. Een ouder kan dan niet eisen dat de school deze direct na uitschrijving vernietigd. Lees meer over de rechten van betrokkenen.

Dossiers deskundigen

In het onderwijs werken naast leraren ook deskundigen, zoals een (school)psycholoog of orthopedagoog. Zij hebben toegang tot leerlinginformatie en voeren reguliere onderwijstaken uit, zoals (interne) begeleiding van leerlingen, zorgcoördinatie, meedenken over speciale begeleiding, et cetera. Ook kunnen zij opmerkingen in het leerlingdossier plaatsen, meekijken en adviseren. Soms kunnen zij in een afgescheiden digitale omgeving voor zorg en begeleiding, een apart of gedeeltelijk dossier bijhouden over leerlingen.

Voor dit soort reguliere schooltaken gelden de ‘normale’ schoolregels voor toegang tot een zorgdossier of bewaartermijnen.

Daarnaast mogen zij vanwege hun beroep taken uitvoeren die vallen in de categorie ‘behandelaar-deskundigen’. Denk aan behandelingen geven, onderzoeken afnemen en diagnoses stellen. Voor deze taken gelden aparte tucht- en beroepsregels.

In de praktijk komt het soms voor dat deskundigen beide type taken uitvoeren. Omdat scholen niet als behandelcentra zijn ingericht en dit niet hun taak is volgens de wet, moeten deskundigen die onder tucht- en gedragsregels vallen zelf voor de inrichting en vernietiging van hun dossiers zorgen. Scholen moeten voldoen aan onderwijsinstellingsregels, niet aan regels voor behandelaars en zorgverleners.

Tips en adviezen

Maak afspraken met leveranciersAanbieders van ict- of leermiddelen. More
Maak in de verwerkersovereenkomst duidelijke afspraken met je leverancier van systemen en applicaties, zoals digitale leermiddelen, over hoelang gegevens worden bewaard. Probeer ervoor te zorgen dat de verwerkerDegene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt. More gegevens automatisch verwijdert volgens deze afspraken.
Schaf systemen aan met de optie van verwijderen per categorie
Houd bij de aanschaf of aanbesteding van nieuwe systemen en applicaties rekening met de mogelijkheid om gegevens per categorie te verwijderen of archiveren. Een algemene ‘verwijderknop’ om alle persoonsgegevens te verwijderen is vaak niet geschikt, omdat verschillende bewaartermijnen gelden voor gegevens in bijvoorbeeld een leerlingdossier.
Huis- en schoolwerk mag mee naar huis, anders een bewaartermijn hanteren
Gegevens zitten niet alleen in de belangrijkste systemen. Ook in de klas zijn er soms papieren gegevens die verwijderd moeten worden. Denk aan gemaakte opdrachten of toetsen. Het uitgangspunt is dat leerlingen zelf hun gemaakte (huis)werk mee naar huis mogen nemen, tenzij er een reden is dat de school dit werk wil bewaren. Hiervoor moet je dan ook een bewaartermijn hanteren.
Houd een digitale schoonmaakweek
Gebruik de laatste week van het schooljaar voor het opruimen van bestanden en mailboxen van leerlingen en leraren. In het basisonderwijs worden in de laatste schoolweek de laatjes in de klas opgeruimd. Ruim ook het ‘digitale laatje’ op. Denk aan Google Drive, OneDrive of iCloud. Verwijder bestanden die in het nieuwe schooljaar niet langer nodig zijn. Onderzoek de mogelijkheid om een archiveringsbeleid op te stellen, zodat e-mail bijvoorbeeld na 1 jaar automatisch gearchiveerd wordt. Neem deze digitale opruimweek ook op in de procedure voor het opschonen van gegevens, als onderdeel van het Bewaartermijnenbeleid.

Tools en voorbeeldocumenten

Bewaartermijnenoverzicht

Handleiding Bewaartermijnenoverzicht

Handleiding Bewaartermijnenbeleid odt

Template Bewaartermijnenbeleid

Template Bewaartermijnenoverzicht odt

Heb je een vraag of opmerking over deze pagina? Stuur een mail naar ibp@kennisnet.nl of stel je vraag in het Netwerk IBP.

Deze pagina maakt onderdeel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.

Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.