Skip to content
Beveiliging calendar_today Bijgewerkt: 7 april 2026 schedule 5 min leestijd

Bewaartermijnen: Hoe Lang Mag je Persoonsgegevens Bewaren?

De GDPR verplicht je om persoonsgegevens niet langer te bewaren dan nodig. Maar hoe bepaal je de juiste termijn? Dit artikel legt uit hoe je een bewaartermijnenbeleid opstelt, met concrete voorbeelden per type gegeven.

summarize Kernpunten
  • check_circle Je mag persoonsgegevens niet langer bewaren dan nodig voor het oorspronkelijke doel
  • check_circle Sommige gegevens heb je een wettelijke bewaarplicht voor (bijv. 7 jaar voor boekhoudkundige documenten)
  • check_circle Een formeel bewaartermijnenbeleid beschermt je bij een controle door de toezichthouder
  • check_circle Verwijder of anonimiseer gegevens zodra de bewaartermijn verloopt

Waarom is dit belangrijk?

De GDPR is hier duidelijk: je mag persoonsgegevens niet langer bewaren dan nodig is om het doel te bereiken waarvoor je ze verzamelt. Toch bewaren de meeste bedrijven gegevens veel langer dan nodig, simpelweg omdat niemand er ooit over nadenkt.

Het risico? Bij een controle door de toezichthouder, of bij een verwijderingsverzoek van een klant, moet je kunnen uitleggen waarom je bepaalde gegevens nog steeds bewaart. “We hebben er nooit over nagedacht” is geen geldig antwoord.

Veelvoorkomende bewaartermijnen

Hieronder een overzicht van gangbare bewaartermijnen. Let op: dit zijn richtlijnen; controleer altijd de specifieke wetgeving die op jouw situatie van toepassing is.

Type gegevenWettelijke basisBewaartermijn
Boekhoudkundige documenten (facturen, betalingen)Wetboek van Economisch Recht / AWR7 jaar
PersoneelsdossiersArbeidsrecht5 jaar na einde dienstverband
Sollicitatiegegevens (afgewezen)Gerechtvaardigd belangMax. 4 weken (tot 1 jaar met toestemming)
Klantgegevens (actieve relatie)Uitvoering overeenkomstDuur van de relatie
Klantgegevens (na beeindiging)Gerechtvaardigd belangMax. 2 jaar
CamerabeeldenGerechtvaardigd belangMax. 1 maand (tenzij incident)
Websiteanalytics (IP-adressen)Toestemming / gerechtvaardigd belangMax. 26 maanden
Contactformulier-inzendingenGerechtvaardigd belangMax. 2 jaar na laatste contact
NieuwsbriefabonneesToestemmingTot intrekking toestemming

Hoe stel je een bewaartermijnenbeleid op?

Stap 1: Inventariseer je verwerkingen

Je kunt geen bewaartermijnen instellen als je niet weet welke gegevens je verwerkt. Begin met je verwerkingsregister; daar staan alle verwerkingsactiviteiten in.

Stap 2: Bepaal per verwerking de termijn

Stel jezelf per verwerkingsactiviteit deze vragen:

  • Is er een wettelijke bewaarplicht? Zo ja, die geldt
  • Zo nee, hoe lang heb ik de gegevens echt nodig voor het doel?
  • Is er een branchestandaard die ik kan volgen?

Stap 3: Documenteer je keuzes

Leg per verwerkingsactiviteit vast:

  • Welke bewaartermijn je hanteert
  • Waarom (wettelijke basis of motivering)
  • Wat er gebeurt na afloop (verwijdering, anonimisering)

Stap 4: Implementeer en controleer

  • Stel herinneringen in voor het controleren en verwijderen van verlopen gegevens
  • Configureer automatische verwijdering waar mogelijk
  • Controleer minstens jaarlijks of je beleid nog actueel is

Veelgemaakte fouten

  • Alles “voor altijd” bewaren omdat het makkelijker is. Dit is een overtreding van de GDPR
  • Geen onderscheid maken tussen actieve en inactieve klanten
  • Back-ups vergeten: als je gegevens verwijdert maar ze staan nog in een back-up, ben je niet klaar
  • Geen beleid op papier: als je het niet hebt gedocumenteerd, bestaat het niet voor de toezichthouder
auto_awesome Bewaartermijnen automatisch bijhouden?

GDPRWise helpt je om per verwerkingsactiviteit de juiste bewaartermijn vast te leggen en herinnert je wanneer gegevens verwijderd moeten worden.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.