Bewaartermijnen
Het bewaren van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More is gebonden aan regels. Voor sommige typen persoonsgegevens gelden wettelijke termijnen. Voor andere moet je zelf een termijn vaststellen. Welke (wettelijke) termijn geldt hangt af van de wet waar de persoonsgegevens onder vallen. In het onderwijs heb je te maken met onder andere onderwijswetten, de archiefwetDe Archiefwet is een Nederlandse wet die het beheer en de toegang van overheidsarchieven regelt. More of de Algemene Verordening Gegevensbescherming (AVG).
Heb je persoonsgegevens die vallen onder onderwijskundige wetgeving of de archiefwet? Dan móet je ze bewaren, omdat ze gedurende een bepaalde periode kunnen worden opgevraagd. Hoe lang je ze moet bewaren is vastgelegd in de wet. Je kunt hierbij denken aan cijferlijsten die je nog 6 maanden moet bewaren nadat een leerling van school is gegaan. Verzuimlijsten moet je tot 5 jaar na een uitschrijving bewaren. In deze gevallen spreken we van wettelijke bewaartermijnenDe (wettelijke) periode dat een (persoons)gegeven bewaard moet worden. More.
Ook de persoonsgegevens waarop andere wetgeving van toepassing is vallen onder de AVG. In de AVG staan geen bewaartermijnen. Is er geen wetgeving waarin iets is vastgelegd over de bewaartermijn? Dan schrijft de AVG voor dat je zelf de bewaartermijnen moet vaststellen. Is het doel waarmee je de persoonsgegevens bewaart niet langer van toepassing? Dan moet je de persoonsgegevens vernietigenHet definitief verwijderen van gegevens, zodat de persoonsgegevens niet meer aanwezig of terug te halen zijn. More.
Let op: In het kader van de Archiefwet moeten onderwijsinstellingen belangrijke documenten bewaren. Welke documenten dat zijn en hoe lang ze moeten worden bewaard, is vastgelegd in zogeheten selectielijsten. Mbo-scholen hebben al een selectielijst opgesteld via de MBO Raad.
Po- en vo-scholen hebben nog geen wettelijk vastgestelde selectielijst. Een werkgroep van de PO-Raad, VO-raad en DUO is hiermee bezig. De selectielijst wordt naar verwachting vastgesteld in 2023. Kennisnet raadt aan voorlopig geen documenten en persoonsgegevens die vallen onder de Archiefwet (zoals examens, diploma’s, cijferlijsten en besluiten tot verlenen van vrijstelling op grond van de Leerplichtwet) te vernietigen. In het kader van de Archiefwet moeten deze belangrijke documenten worden bewaard. Bewaar ze op een aparte, extra beveiligde plek, waar alleen een selecte groep medewerkers toegang toe heeft. Zodra de selectielijst is vastgesteld in de Staatscourant, kunt u de bewaartermijnen uit de lijst gaan toepassen. Lees meer op de website van de PO-Raad en de VO-raad.
Is het wettelijk verplicht?
Volgens de AVG ben je verplicht om duidelijk te maken hoe lang je persoonsgegevens bewaart. Dat doe je door een bewaartermijn vast te stellen. Deze termijnen leg je vast in je register van verwerkingsactiviteitenEen register met informatie over verwerkingen van persoonsgegevens. More (dataregisterHet dataregister is een register van verwerkingsactiviteiten speciaal voor het onderwijs. Het dataregister is voor een gedeelte al ingevuld en van suggesties voorzien. More). In een selectielijst worden de bewaartermijnen vastgelegd voor belangrijke documenten die onder de Archiefwet vallen. De bewaartermijnen in het verwerkingsregister moeten overeenkomen met de bewaartermijnen in de selectielijst.
Meer informatie vind je in artikel 5.1 lid e van de AVG. De bijbehorende maatregelen vind je in de ISOInternationale organisatie voor standaardisatie. Een ISO norm voor informatiebeveiliging is de ISO 27001 of 27002 of 9001. More 27002, artikel 18.1.3. Deze vind je terug in het toetsingskader IBP po vo.
Wie doet wat?
Bij het vaststellen van bewaartermijnen zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More stelt de bewaartermijnen vast.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More of de Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More stelt de procedure op voor het vernietigen en/of extra beveiligen van persoonsgegevens waarvan het bewaartermijn is verstreken.
- De administratie vernietigt en/of bewaart persoonsgegevens waarvan het bewaartermijn is verstreken.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Hoe stel je een bewaartermijn voor je persoonsgegevens vast? En hoe zorg je ervoor dat de persoonsgegevens waarvan de bewaartermijn is verstreken apart worden gezet of worden vernietigd?
Stap 1 | Bepaal de termijn per type persoonsgegevens
Het bepalen van een bewaartermijn hangt af van het type persoonsgegevens dat je bewaart en onder welke wetgeving ze vallen. Gebruik onze samenvatting van bewaartermijnen om voor de persoonsgegevens die jij opslaat te bepalen welke (wettelijke) bewaartermijnen relevant zijn.
Stap 2 | Leg de bewaartermijnen vast
Leg vervolgens de bewaartermijnen vast in een overzicht. Dat kan bijvoorbeeld in een apart Word- of Exceldocument. Geef de bewaartermijnen waar mogelijk ook aan in het register van verwerkingen.
Stap 3 | Vernietigen of verplaatsen van persoonsgegevens
Zorg voor een reminder als de bewaartermijn van persoonsgegevens is verstreken. Maak periodiek een selectie van de persoonsgegevens die je moet vernietigen en leg deze vast in een vernietigingslijst. Vernietig de persoonsgegevens of plaats ze in een extern archief en zorg dat ze in de administratie met actuele persoonsgegevens niet terug te vinden zijn. Misschien kan je leverancier je leerlingenadministratie zo inrichten dat je de bewaartermijn ook daarin kunt vastleggen.
Stap 4 | Nieuwe software of systemen
Installeer je nieuwe software of systemen waarin persoonsgegevens worden verwerkt? Dan moet je een DPIA uitvoeren en meteen de bewaartermijn vastleggen in het register voor verwerkingsactiviteiten.
Tools en voorbeelddocumenten
Hou rekening met
Back up en recovery
Moet je een back up van je persoonsgegevens terugzetten? Dan zou het kunnen dat er ook items van de vernietigingslijst die al vernietigd waren, zijn teruggezet. Aan de hand van je vernietigingslijst kun je controleren of dit het geval is. Noteer het ook als je ze opnieuw vernietigt.
