Bewaartermijnen

bijgewerkt op 23 april 2024

Het bewaren van persoonsgegevens is gebonden aan regels. Hoelang je sommige gegevens mag bewaren, hangt af van de wet waar ze onder vallen. Denk bijvoorbeeld aan de AVG, onderwijswetten of de Archiefwet. Om te bepalen hoe lang je gegevens mag bewaren, is een Bewaartermijnenoverzicht gemaakt. Daarin vind je voor verschillende gegevens de wettelijke bewaartermijnen of een richtlijn voor het bewaren van gegevens.

Op scholen worden veel gegevens bewaard over leerlingen en hun ouders. Daarnaast heb je te maken met een financiële administratie, een inkoopadministratie en een personeelsadministratie. Al deze gegevens zijn nodig voor een bepaald doel, maar ze mogen niet oneindig lang worden bewaard. Voor ieder gegeven dat wordt opgeslagen, geldt een bepaalde bewaartermijn. Na verloop van die periode moeten de gegevens worden vernietigd.

Persoonsgegevens mogen volgens de AVG niet langer worden bewaard dan noodzakelijk, maar de AVG geeft geen bewaartermijnen. In andere specifieke wet- en regelgeving staan wel bewaartermijnen. Dit noemen we wettelijke bewaartermijnen.

  • Onderwijswetgeving bepaalt hoelang bepaalde gegevens over leerlingen en hun schoolloopbaan moeten worden bewaard.
  • Het Burgerlijk Wetboek geeft regels voor het bewaren van financiële administratie en jaarrekeningen.
  • Fiscale wetgeving geeft regels voor het bewaren van facturen.

Als er geen wettelijke bewaartermijn bestaat, geldt de hoofdregel van de AVG: niet langer bewaren dan noodzakelijk. Je zult dan zelf moeten bepalen hoelang je persoonsgegevens bewaart.

Om scholen te ondersteunen bij het bepalen van bewaartermijnen, is een Bewaartermijnenoverzicht gemaakt. Hierin staan persoonsgegevens centraal, maar het biedt ook hulp bij het bepalen van bewaartermijnen voor andere informatie, als dat relevant is. In het Bewaartermijnenoverzicht vind je:

  • wettelijke bewaartermijnen voor persoonsgegevens
  • richtlijnen voor het bewaren van gegevens wanneer er geen wettelijke bewaartermijn bestaat

Is het wettelijk verplicht?

De AVG verplicht het hanteren van bewaartermijnen. Deze kunnen voortvloeien uit de AVG zelf (niet langer bewaren dan noodzakelijk) of uit andere wetgeving, zoals de Archiefwet, onderwijswetten, arbeidsrechtelijke en financiële wetten.  

Meer informatie vind je in artikel 5.1 lid e van de AVG.

Let op: In het kader van de Archiefwet moeten onderwijsinstellingen belangrijke documenten bewaren. Welke documenten dat zijn en hoelang ze moeten worden bewaard, is vastgelegd in zogeheten selectielijsten. Nu zijn schoolbesturen en samenwerkingsverbanden zelf verplicht om deze samen te stellen. De vernieuwde Archiefwet, die waarschijnlijk in 2026 ingaat, maakt het mogelijk dat de PO-Raad en VO-raad een selectielijst opstellen die geldt voor de gehele sector, een zogenoemd groepsselectielijst. In hoeverre jouw schoolbestuur onder de Archiefwet valt en voor welke gegevens en documenten lees je op de website van de PO-Raad en VO-raad.

 

Kennisnet raadt aan voorlopig geen documenten en persoonsgegevens te vernietigen die behoren bij de openbaar gezagtaken van schoolbesturen en daarom onder de Archiefwet vallen. Denk aan examens, diploma’s, cijferlijsten en besluiten tot verlenen van vrijstelling op grond van de Leerplichtwet. In het kader van de Archiefwet moeten deze belangrijke documenten worden bewaard. Bewaar ze op een aparte, extra beveiligde plek, waar alleen een selecte groep medewerkers toegang toe heeft. Zodra de selectielijst is vastgesteld door de minister en gepubliceerd in de Staatscourant, kun je de bewaartermijnen uit de lijst gaan toepassen. 

Wat zegt het Normenkader IBP?

Het Normenkader Informatiebeveiliging en Privacy beschrijft in domein 9 de normen voor datamanagement. Het hanteren van bewaartermijnen is hier onderdeel van. De stappenplannen op deze pagina ondersteunen je bij de uitwerking van normen DM.02, DM.04 en PR.07. We gaan er in deze stappenplannen van uit dat je al data- en systeemeigenaren hebt aangewezen, in lijn met norm DM.01.

Zodra het privacydeel van het Normenkader IBP is gepubliceerd, voegen we die normen toe op deze pagina zodat je ook weet aan welke privacynormen je werkt.

Volwassenheidsniveau 3 bij norm DM.02
  • Er zijn een dataclassificatieschema en richtlijnen voor het gebruik daarvan ingevoerd en toegepast binnen de hele organisatie.
  • Eigendom van data, definities en eisen voor verschillende niveaus van dataclassificatie worden allemaal nadrukkelijk beschreven in de richtlijnen.
  • De richtlijnen worden gebruikt als een basis voor het toepassen van de benodigde beheersmaatregelen voor kritische processen en/of applicaties.
  • Het classificatieschema is goedgekeurd door het schoolbestuur of de schoolleiding.
Volwassenheidsniveau 3 bij norm DM.04
  • Er zijn formele procedures en richtlijnen voor het opslaan, bewaren en archiveren van data.
  • In lijn met bedrijfsvoering zijn er eisen gesteld aan het opslaan, bewaren en archiveren van data (technieken) en deze zijn ingevoerd.
  • Er is voor gezorgd dat deze eisen in overeenstemming zijn met (informatie)beveiligingsbeleid, contractuele afspraken en wet- en regelgeving.
Volwassenheidsniveau 3 bij norm PR.07
  • Er is beleid vastgesteld voor het verwijderen en/of anonimiseren van gegevens.
  • De processen om persoonsgegevens te verwijderen of te anonimiseren zijn gedocumenteerd.
  • Persoonsgegevens die niet meer nodig zijn worden tijdig verwijderd of geanonimiseerd, conform het beleid.
  • Waar noodzakelijk zijn specifieke procedures vastgesteld voor het verwijderen van gegevens. Hierin is vastgesteld wat de toepasselijke bewaartermijn is en op welke wijze verwijdering plaats dient te vinden.
  • Het beleid en de procedures voor het verwijderen en anonimiseren van gegevens worden consequent toegepast.

Wie doet wat?

Bij het vaststellen van bewaartermijnen zijn verschillende rollen betrokken met elk hun eigen taken: 

  • Het schoolbestuur stelt het Bewaartermijnenbeleid vast.
  • De IBP-verantwoordelijke, zoals de ict-coördinator of Privacy Officer, adviseert over het vaststellen van de bewaartermijnen.
  • Data-eigenaren bepalen wat er wel en niet met bepaalde data mag gebeuren, zoals leerlinggegevens, financiële gegevens en HR-gegevens. Zij bepalen voor hun data de bewaartermijnen en nemen deze op in het Bewaartermijnenbeleid. In de praktijk zijn bijvoorbeeld de manager bedrijfsvoering, het hoofd financiën en de HR-manager een data-eigenaar.

Bij het bewaren en vernietigen van persoonsgegevens zijn deze rollen betrokken met elk hun eigen taken:

  • De ict-coördinator of de Privacy Officer stelt de procedure op voor het vernietigen van persoonsgegevens waarvan de bewaartermijn is verstreken en draagt systeemeigenaren van applicaties op die procedure te volgen voor de data in hun applicaties.
  • De systeemeigenaar, vaak het hoofd ict, past de procedure voor het vernietigen van persoonsgegevens toe. In de praktijk betekent dit dat de systeemeigenaar de functioneel beheerder van het systeem (de applicatie) de opdracht geeft om de gegevens waarvan de bewaartermijn is verstreken, te verwijderen. De systeemeigenaar informeert de FG en de relevante data-eigenaren over de verwijdering.
  • De FG controleert of de persoonsgegevens zijn verwijderd en rapporteert aan het college van bestuur (CvB).

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag: vaststellen van bewaartermijnen

Hoe stel je een bewaartermijn vast? De data-eigenaren en IBP-verantwoordelijke kunnen het volgende stappenplan volgen.

Stap 1: Zoek de wettelijke bewaartermijn op in het Bewaartermijnenoverzicht

Zoek in de tool Bewaartermijnenoverzicht of er een specifieke wettelijke bewaartermijn geldt. Houd in dat geval die termijn aan. Als er een wettelijke bewaartermijn bestaat, dan geldt deze termijn als minimale én maximale bewaartermijn.

Stap 2: Geen wettelijke bewaartermijn? Gebruik dan de richtlijn

Als er geen wettelijke bewaartermijn geldt, dan is er een richtlijn voor het bewaren van (persoons)gegevens.

Zoek in de tool Bewaartermijnenoverzicht of er een specifieke richtlijn geldt. Houd dan die termijn aan. Heb je belangrijke argumenten om hiervan af te wijken, onderbouw dit dan in het Bewaartermijnenbeleid (op basis van het principe comply or explain).

Stap 3: Geen richtlijn? Volg dan de AVG

Als er geen wettelijke bewaartermijn of richtlijn geldt, dan geldt de hoofdregel van de AVG: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel waarvoor de persoonsgegevens worden verwerkt. Heb je de gegevens niet langer nodig, dan moet je de (persoons)gegevens vernietigen. Stel zelf vast wat een passende bewaartermijn is.

Stap 4: Neem de bewaartermijnen op in een Bewaartermijnenbeleid en stel dit beleid vast

Leg voorgaande stappen vast in het Bewaartermijnenbeleid. Geef aan welk termijn geldt voor de informatie waarvoor geen wettelijke bewaartermijn of richtlijn van toepassing is, of waar je eventueel afwijkt van de richtlijnen. Motiveer en documenteer de keuze voor de bewaartermijn in het Bewaartermijnenbeleid. Gebruik hiervoor het template Bewaartermijnenbeleid.

Stap 5: Vraag de (G)MR om instemming

Leg het Bewaartermijnenbeleid, nadat het is vastgesteld door het CvB, ter instemming voor aan de (G)MR.

Stap 6: Controleer periodiek het Bewaartermijnenbeleid

Controleer minimaal jaarlijks of het Bewaartermijnenbeleid actueel is en de verantwoordelijkheden juist zijn belegd. De FG controleert het beleid en de IBP-verantwoordelijke wijzigt bewaartermijnen naar aanleiding van nieuwe wet- en regelgeving. De bestuurder stelt het beleid dan opnieuw vast.

Aan de slag: bewaren en vernietigen van persoonsgegevens

Het bewaren en vernietigen van persoonsgegevens kan op verschillende manieren. In dit stappenplan geven we een voorbeeld van een mogelijke werkwijze.

Stap 1: Breng in kaart welke persoonsgegevens je verzamelt

Om te bepalen hoelang je gegevens mag bewaren, moet je een beeld hebben van welke gegevens je verzamelt en in welke systemen deze informatie is opgeslagen. Stel daarom eerst vast welke (persoons)gegevens in welke systemen zitten en neem ook gegevens mee die niet digitaal zijn opgeslagen, zoals papieren dossiers in archiefkasten. Maak hiervoor gebruik van het register van verwerkingen (dataregister). In dit register staat vermeld welke categorieën van persoonsgegevens je school verwerkt.

Stap 2: Stel een procedure vast voor het vernietigen van gegevens

Leg vast hoe de vernietiging van gegevens praktisch is geregeld. Daarmee borg je de uitvoering van het Bewaartermijnenbeleid. Stel een procedure op waarin staat wie wat doet en wanneer. Voeg deze procedure eventueel als bijlage bij het Bewaartermijnenbeleid.

Stap 3: Stel bewaartermijnen waar mogelijk automatisch in

De functioneel (applicatie)beheerder stelt de instellingen voor bewaartermijnen in het systeem juist in.

Stap 4: Verwijder (persoons)gegevens op tijd

De functioneel (applicatie)beheerder voert op de afgesproken tijd(en) de verwijderacties uit. De (applicatie)beheerder rapporteert de verwijder-actie aan de systeemeigenaar. Zorg ervoor dat ook papieren gegevens op tijd worden vernietigd volgens de hiervoor vastgestelde bewaartermijn.

Stap 5: Houd toezicht, controleer en rapporteer

De systeemeigenaar houdt toezicht op het tijdig vernietigen van gegevens.

De functionaris voor gegevensbescherming (FG) controleert in afstemming met de systeemeigenaar en functioneel (applicatie)beheerder of persoonsgegevens volgens het vastgestelde beleid zijn verwijderd. De FG rapporteert hierover aan de systeemeigenaar en het CvB.

Stap 6: Evalueer periodiek het proces van bewaren en vernietigen van persoonsgegevens

Controleer minimaal jaarlijks of het proces van bewaren en vernietigen van persoonsgegevens actueel is en de verantwoordelijkheden bij de juiste personen zijn belegd.

Hou rekening met

Back-up en recovery

Kijk goed naar de manier waarop je school back-ups maakt van gegevens. Wanneer gegevens volgens het Bewaartermijnenbeleid uit systemen worden verwijderd, staan ze soms nog steeds in een back-up. Ze zijn dus nog niet definitief verwijderd. Terwijl het uitgangspunt is dat persoonsgegevens ook uit back-ups moeten worden verwijderd.

Soms is het technisch niet mogelijk om specifieke gegevens uit een back-up te verwijderen, maar alleen de hele back-up te vernietigen. Dat is niet wenselijk. In dat geval kun je besluiten om de back-up niet te verwijderen, mits je aan bepaalde voorwaarden voldoet:  

  1. Houd bij welke gegevens uit de back-up verwijderd hadden moeten worden.
  2. Verwijder deze gegevens alsnog bij het terugzetten van de back-up. 

Op deze manier voldoe je aan de bewaartermijnen en de tijdige vernietiging van gegevens. Neem het back-up beleid op in de procedure voor het verwijderen en opschonen van gegevens.

Papieren en digitale informatie

Informatie kan in verschillende vormen voorkomen, zoals digitaal of op papier. Volgens Europese regels mag je (persoons)gegevens die op papier zijn ontvangen gedigitaliseerd bewaren. Daarna mag je het papieren document vernietigen. Het is wel belangrijk dat de digitale kopie exact overeenkomt met het papieren document en dezelfde informatie bevat. 

Anonimiseren

Gegevens die nodig zijn voor beleid of analyse-doeleinden mag je langer bewaren als ze geanonimiseerd worden. Anonimiseren betekent dat je de persoon-identificerende informatie verwijdert uit het bestand. Bijvoorbeeld door de NAW-gegevens en geboortedatum, leerlingnummer en BSN/PGN te verwijderen. Het uitgangspunt is dat de geanonimiseerde informatie niet langer te herleiden is tot personen en dat dit proces onomkeerbaar is. De ‘sleutel’ om de gegevens (bijv. via een combinatie met andere gegevens) weer terug te herleiden naar personen moet zogezegd weggegooid zijn. Geanonimiseerde gegevens zijn geen persoonsgegevens meer en de AVG is hierop niet van toepassing. Dit in tegenstelling tot ‘gepseudonimiseerde gegevens’, hiervan is de sleutel om de gegevens terug te herleiden naar personen nog wel beschikbaar en is de AVG dus van toepassing.

Rechten van betrokkenen: recht op inzage (persoons)gegevens

Betrokkenen hebben het recht om hun persoonsgegevens in te zien. Een leerling vanaf 16 jaar heeft bijvoorbeeld recht op inzage in al zijn persoonsgegevens. Onder de 16 jaar hebben de wettelijk vertegenwoordigers recht op inzage in die gegevens. Inzage geven in het leerlingdossier uit de leerlingadministratie is soms niet voldoende: ook op andere plekken heeft de school vaak informatie over leerlingen opgeslagen, bijvoorbeeld in een leerlingvolgsysteem of in een SharePoint-omgeving. Lees meer over de rechten van betrokkenen. 

Rechten van betrokkenen: recht op verwijdering

Onder bepaalde omstandigheden mag een betrokkene of de wettelijk vertegenwoordiger, de school verzoeken om de persoonsgegevens te laten verwijderen. Het is belangrijk om te weten dat dit geen absoluut recht is dat altijd gehonoreerd moet worden. Als de school bijvoorbeeld wettelijk verplicht is om bepaalde persoonsgegevens gedurende een termijn te bewaren, dan kan zij het verzoek gemotiveerd afwijzen. Denk bijvoorbeeld aan de verplichting van basisscholen om het onderwijskundig rapport gedurende 5 jaar na uitschrijving van de leerling te bewaren. Een ouder kan dan niet eisen dat de school deze direct na uitschrijving vernietigd. Lees meer over de rechten van betrokkenen. 

Dossiers deskundigen

In het onderwijs werken naast leraren ook deskundigen, zoals een (school)psycholoog of orthopedagoog. Zij hebben toegang tot leerlinginformatie en voeren reguliere onderwijstaken uit, zoals (interne) begeleiding van leerlingen, zorgcoördinatie, meedenken over speciale begeleiding, et cetera. Ook kunnen zij opmerkingen in het leerlingdossier plaatsen, meekijken en adviseren. Soms kunnen zij in een afgescheiden digitale omgeving voor zorg en begeleiding, een apart of gedeeltelijk dossier bijhouden over leerlingen.  

Voor dit soort reguliere schooltaken gelden de ‘normale’ schoolregels voor toegang tot een zorgdossier of bewaartermijnen. 

Daarnaast mogen zij vanwege hun beroep taken uitvoeren die vallen in de categorie ‘behandelaar-deskundigen’. Denk aan behandelingen geven, onderzoeken afnemen en diagnoses stellen. Voor deze taken gelden aparte tucht- en beroepsregels. 

In de praktijk komt het soms voor dat deskundigen beide type taken uitvoeren. Omdat scholen niet als behandelcentra zijn ingericht en dit niet hun taak is volgens de wet, moeten deskundigen die onder tucht- en gedragsregels vallen zelf voor de inrichting en vernietiging van hun dossiers zorgen. Scholen moeten voldoen aan onderwijsinstellingsregels, niet aan regels voor behandelaars en zorgverleners.

Tips en adviezen

  • Maak afspraken met leveranciers
    Maak in de verwerkersovereenkomst duidelijke afspraken met je leverancier van systemen en applicaties, zoals digitale leermiddelen, over hoelang gegevens worden bewaard. Probeer ervoor te zorgen dat de verwerker gegevens automatisch verwijdert volgens deze afspraken.    
  • Schaf systemen aan met de optie van verwijderen per categorie
    Houd bij de aanschaf of aanbesteding van nieuwe systemen en applicaties rekening met de mogelijkheid om gegevens per categorie te verwijderen of archiveren. Een algemene ‘verwijderknop’ om alle persoonsgegevens te verwijderen is vaak niet geschikt, omdat verschillende bewaartermijnen gelden voor gegevens in bijvoorbeeld een leerlingdossier.
  • Huis- en schoolwerk mag mee naar huis, anders een bewaartermijn hanteren
    Gegevens zitten niet alleen in de belangrijkste systemen. Ook in de klas zijn er soms papieren gegevens die verwijderd moeten worden. Denk aan gemaakte opdrachten of toetsen. Het uitgangspunt is dat leerlingen zelf hun gemaakte (huis)werk mee naar huis mogen nemen, tenzij er een reden is dat de school dit werk wil bewaren. Hiervoor moet je dan ook een bewaartermijn hanteren.
  • Houd een digitale schoonmaakweek 
    Gebruik de laatste week van het schooljaar voor het opruimen van bestanden en mailboxen van leerlingen en leraren. In het basisonderwijs worden in de laatste schoolweek de laatjes in de klas opgeruimd. Ruim ook het ‘digitale laatje’ op. Denk aan Google Drive, OneDrive of iCloud. Verwijder bestanden die in het nieuwe schooljaar niet langer nodig zijn. Onderzoek de mogelijkheid om een archiveringsbeleid op te stellen, zodat e-mail bijvoorbeeld na 1 jaar automatisch gearchiveerd wordt. Neem deze digitale opruimweek ook op in de procedure voor het opschonen van gegevens, als onderdeel van het Bewaartermijnenbeleid.

Tools en voorbeelddocumenten

Heb je een vraag of opmerking over deze pagina? Stuur een mail naar  ibp@kennisnet.nl of stel je vraag in het Netwerk IBP.

Deze pagina maakt onderdeel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.

 

Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.

Inhoudsopgave