Is het waard, wat je bewaart?; Hoe langdurige opslag risico’s vergroot

Inleiding

Telecombedrijf Odido, dat begin februari werd getroffen door een groot datalek, blijkt persoonsgegevens van voormalige klanten langer te bewaren dan het zelf aangeeft in de privacyverklaring. Het Financieele Dagblad meldt dat klanten die vijf tot tien jaar geleden zijn overgestapt naar een andere provider berichten hebben ontvangen dat hun gegevens mogelijk zijn buitgemaakt.[1] Dit terwijl Odido volgens de privacyverklaring stelt dat persoonsgegevens maximaal twee jaar na het einde van een contract worden bewaard.

Het incident bij Odido illustreert het belang voor organisaties om actief te waken over hoe lang persoonsgegevens worden bewaard. Niet alleen om te voldoen aan wettelijke verplichtingen, zoals de AVG, maar ook om het vertrouwen van klanten te behouden en gevolgen van datalekken te beperken. Hierbij zijn bewaartermijnen een belangrijk instrument. Om het belang hiervan te onderstrepen, bespreken we in deze blog de relevante wettelijke verplichtingen, hoe je als organisatie zelf bewaartermijnen kan vaststellen en wat er met persoonsgegevens moet gebeuren zodra een termijn is verstreken.

[1] Odido bewaart klantgegevens langer dan afgesproken, blijkt na datalek

Waarom zijn bewaartermijnen belangrijk?

Bewaartermijnen zijn belangrijk om te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Het niet naleven van deze termijnen kan ernstige gevolgen hebben. Organisaties riskeren forse boetes en reputatieschade. Daarnaast kunnen betrokkenen, zoals werknemers of sollicitanten, een klacht bij de Autoriteit Persoonsgegevens (AP) indienen wanneer zij vermoeden dat de bewaartermijn wordt overschreden. Bovendien laat de situatie bij Odido zien dat het langdurig bewaren van persoonsgegevens onnodige risico’s met zich mee kan brengen, zoals ingrijpende gevolgen bij datalekken of identiteitsfraude.

Hoe bepaal je een bewaartermijn?

Omdat de AVG geen concrete bewaartermijnen voorschrijft, moeten organisaties zelf bepalen hoe lang persoonsgegevens worden bewaard. Het is belangrijk om zorgvuldig af te wegen in hoeverre het bewaren van de gegevens noodzakelijk is, tegenover de mogelijke nadelige gevolgen voor de betrokkenen.

Persoonsgegevens dienen niet langer dan noodzakelijk te worden bewaard, waarbij de noodzakelijkheid afhankelijk is van de specifieke situatie. Organisaties moeten zelf vaststellen wat in hun situatie passend is. Daarbij kan onder andere worden gekeken of er wettelijke verplichtingen gelden, zoals op grond van de Archiefwet of bewaarplichten voor de administratie, of dat er nog juridische procedures lopen. Daarnaast is het van belang te beoordelen hoe lang de gegevens nodig zijn voor het doel waarvoor ze worden verwerkt, bijvoorbeeld voor interne controles of openstaande facturen.[1]

[1] Bewaren van persoonsgegevens | Autoriteit Persoonsgegevens

Vastlegging

Het is belangrijk om de vastgestelde bewaartermijnen en de onderbouwing daarvoor te documenteren. Organisaties dienen bijvoorbeeld vast te leggen waarom voor een bepaalde termijn is gekozen en waarom dit passend is voor het doel van de verwerking. Dit kan worden opgenomen in het privacybeleid of het verwerkingsregister, zodat verantwoording kan worden afgelegd richting de AP. Daarnaast is het ook verstandig om de bewaartermijnen in de privacyverklaring te vermelden. Hiermee laten organisaties zien hoe lang persoonsgegevens worden bewaard, zodat betrokkenen hier duidelijkheid over hebben.

Na afloop

Zodra de wettelijke grondslag of het oorspronkelijke doel van de verwerking niet meer van toepassing is, moeten de gegevens worden verwijderd of geanonimiseerd. Concreet betekent dit bijvoorbeeld dat oude sollicitatiegegevens na het verstrijken van de bewaartermijn (automatisch) uit het systeem worden verwijderd, en dat financiële gegeven zoals de salarisadministratie na de wettelijk voorgeschreven termijn worden geanonimiseerd of verwijderd. Dit voorkomt dat persoonsgegevens onnodig lang bewaard blijven en minimaliseert risico’s zoals ingrijpende gevolgen bij datalekken of misbruik van gegevens. Het is daarom belangrijk dat organisaties duidelijke procedures hebben voor het opschonen van gegevens en dat medewerkers weten wie verantwoordelijk is voor het uitvoeren van deze taken. Door systematisch te controleren welke gegevens nog nodig zijn en welke kunnen worden verwijderd, kunnen organisaties zowel voldoen aan de AVG als het vertrouwen van betrokkenen behouden.

Wil je meer weten over hoe je bewaartermijnen binnen je organisatie op een verantwoorde manier kunt vaststellen en naleven, of heb je andere privacygerelateerde vragen? Neem vrijblijvend contact op met een van onze juristen of stuur een bericht naar hallo@privacy.nl.

Geschreven door Emmy Zhang, Privacy & IT-jurist.

18 maart 2026

Wil je jouw organisatie privacy-volwassen maken of heb je vragen over gegevensbescherming?

Neem vrijblijvend contact met ons op en ontdek hoe Privacy1 je kan helpen.

Neem contact met ons op

Naam	Aanbieder	Doel	Vervaldatum
CookieConsent	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 jaar

Naam	Aanbieder	Doel	Vervaldatum
_ga	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	2 jaar
_gat	privacy1.nl	Gebruikt door Google Analytics om verzoeksnelheid te vertragen.	1 dag
_gid	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 dag
collect	google-analytics.com	Gebruikt om gegevens naar Google Analytics te versturen over het apparaat en het gedrag van de bezoeker.	Sessie

Is het waard, wat je bewaart?; Hoe langdurige opslag risico’s vergroot

Wil je jouw organisatie privacy-volwassen maken of heb je vragen over gegevensbescherming?

Ook interessant: