Aanpak IBPBewaartermijnen

Bewaartermijnen

Het bewaren van persoonsgegevens is gebonden aan regels. Voor sommige typen persoonsgegevens gelden wettelijke termijnen. Voor andere moet je zelf een termijn vaststellen. Welke (wettelijke) termijn geldt hangt af van de wet waar de persoonsgegevens onder vallen. In het onderwijs heb je te maken met onder andere onderwijswetten, de archiefwet of de Algemene Verordening Gegevensbescherming (AVG).

Heb je persoonsgegevens die vallen onder onderwijskundige wetgeving of de archiefwet? Dan móet je ze bewaren, omdat ze gedurende een bepaalde periode kunnen worden opgevraagd. Hoe lang je ze moet bewaren is vastgelegd in de wet. Je kunt hierbij denken aan cijferlijsten die je nog 6 maanden moet bewaren nadat een leerling van school is gegaan. Verzuimlijsten moet je tot 5 jaar na een uitschrijving bewaren. In deze gevallen spreken we van wettelijke bewaartermijnen.

Ook de persoonsgegevens waarop andere wetgeving van toepassing is vallen onder de AVG. In de AVG staan geen bewaartermijnen. Is er geen wetgeving waarin iets is vastgelegd over de bewaartermijn? Dan schrijft de AVG voor dat je zelf de bewaartermijnen moet vaststellen. Is het doel waarmee je de persoonsgegevens bewaart niet langer van toepassing? Dan moet je de persoonsgegevens vernietigen.

Let op: in het kader van de Archiefwet moeten overheidsinstellingen belangrijke documenten bewaren. Welke documenten dat zijn en hoe lang ze bewaard moeten worden is vastgelegd in zogeheten selectielijsten. mbo-scholen hebben al te maken met deze selectielijsten. po- en vo-scholen nog niet. Maar dat zal waarschijnlijk veranderen. Kennisnet raadt daarom aan voorlopig geen persoonsgegevens te vernietigen. Anonimiseer persoonsgegevens die de bewaartermijn hebben overschreden zo veel mogelijk en bewaar ze op een aparte, extra beveiligde plek, waar alleen een zeer selecte groep medewerkers toegang toe heeft.

Is het wettelijk verplicht?

Volgens de AVG ben je verplicht om duidelijk te maken hoe lang je persoonsgegevens bewaart. Dat doe je door een bewaartermijn vast te stellen. Deze termijnen leg je vast in je register van verwerkingsactiviteiten (dataregister). Naar verwachting zullen po- en vo-scholen ook te maken krijgen met selectielijsten: lijsten van belangrijke documenten die je van de Archiefwet moet bewaren.

Meer informatie vind je in artikel 5.1 lid e van de AVG.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het vaststellen van bewaartermijnen.

Verantwoordelijkheid


Schoolbestuur
Vaststellen bewaartermijnen.

Uitvoering


Ict-coördinator of
Privacy Officer
Opstellen procedure vernietigen en/of extra beveiligen van persoonsgegevens waarvan het bewaartermijn is verstreken.
Administratie
Vernietigen persoonsgegevens en/of apart bewaren persoonsgegevens waarvan het bewaartermijn is verstreken.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Hoe stel je een bewaartermijn voor je persoonsgegevens vast? En hoe zorg je ervoor dat de persoonsgegevens waarvan de bewaartermijn is verstreken apart worden gezet of worden vernietigd?

Stap 1 | Bepaal de termijn per type persoonsgegevens

Het bepalen van een bewaartermijn hangt af van het type persoonsgegevens dat je bewaart en onder welke wetgeving ze vallen. Gebruik onze samenvatting van bewaartermijnen om voor de persoonsgegevens die jij opslaat te bepalen welke (wettelijke) bewaartermijnen relevant zijn.

Stap 2 | Leg de bewaartermijnen vast

Leg vervolgens de bewaartermijnen vast in een overzicht. Dat kan bijvoorbeeld in een apart Word- of Exceldocument. Geef de bewaartermijnen waar mogelijk ook aan in het register van verwerkingen.

Stap 3 | Vernietigen of verplaatsen van persoonsgegevens

Zorg voor een reminder als de bewaartermijn van persoonsgegevens is verstreken. Maak periodiek een selectie van de persoonsgegevens die je moet vernietigen en leg deze vast in een vernietigingslijst. Vernietig de persoonsgegevens of plaats ze in een extern archief en zorg dat ze in de administratie met actuele persoonsgegevens niet terug te vinden zijn. Misschien kan je leverancier je leerlingenadministratie zo inrichten dat je de bewaartermijn ook daarin kunt vastleggen.

Stap 4 | Nieuwe software of systemen

Installeer je nieuwe software of systemen waarin persoonsgegevens worden verwerkt? Dan moet je een DPIA uitvoeren en meteen de bewaartermijn vastleggen in het register voor verwerkingsactiviteiten.

Tools en voorbeelddocumenten

Hou rekening met

Back up en recovery

Moet je een back up van je persoonsgegevens terugzetten? Dan zou het kunnen dat er ook items van de vernietigingslijst die al vernietigd waren, zijn teruggezet. Aan de hand van je vernietigingslijst kun je controleren of dit het geval is. Noteer het ook als je ze opnieuw vernietigt.

Verdieping

Inhoudsopgave