AVG bewaartermijn: van papieren afspraak naar dataretentie

28 januari, 2026

Tijdens meerdere, en ja bijna alle, security assessments zien we hetzelfde patroon: data wordt langer bewaard dan toegestaan. Of het nu gaat om klantdata, medewerkersdata of leveranciersdata. Daarmee worden vaak contracten, SLA’s, wetgeving en interne policies overtreden.

En precies daar raakt dit aan de praktijk van Privacy/GDPR: een AVG bewaartermijn is pas waardevol als je hem niet alleen opschrijft, maar ook kunt afdwingen. Anders blijft data liggen “voor later” of gewoon omdat niemand eigenaar is.

Kort samengevat

Een AVG bewaartermijn werkt alleen als je hem kunt afdwingen met beleid, eigenaarschap en controls.
Het probleem zit zelden in intentie, maar in data lifecycle management dat niet is ingericht.
Data verdwijnt uit de officiële tooling naar lokale devices of shared drives, en dan verlies je grip.
Je lost dit niet op met alleen bewustwording. Je hebt controls nodig zoals dataretentie, automatische opschoning en DLP (Data Loss Prevention).

Gaat jouw organisatie slim om met privacygevoelige gegevens van klanten en medewerkers? Bekijk onze pagina Privacy/GDPR. We kijken graag mee om deze complexe materie te vertalen naar praktische stappen voor jouw organisatie.

Waar het misgaat in de praktijk

Op papier is het logisch: data komt binnen, wordt verwerkt, gedeeld waar nodig, en wordt verwijderd of gearchiveerd volgens afspraken.

In de praktijk zien we juist dit:

Vertrouwelijke informatie wordt gebruikt buiten de bedoelde tooling
Data wordt gedeeld met mensen die geen toegang zouden moeten hebben
Om “even snel” te werken wordt het gedownload naar lokale devices of shared drives

En zodra het daar staat, verliest de organisatie grip: wie gebruikt het, waar gaat het heen, wanneer verdwijnt het?

Bij hergebruik voor analytics of AI zien we zelfs dat data niet wordt geanonimiseerd, omdat dat “te veel tijd kost”.

Waarom dit direct risico geeft (ook als je “alleen maar bewaart”)

Te lang bewaren klinkt onschuldig, maar in de praktijk zien we dat het leidt tot:

Boetes en claims
Reputatieschade
Operationele chaos
Hogere kans op compromise
Impersonatie en fraude

Hoe langer je persoonsgegevens bewaart dan nodig, hoe groter de impact als er iets misgaat. En hoe lastiger het wordt om aan te tonen dat je je data governance op orde hebt.

De oorzaak is vaak ongemakkelijk simpel

De kern is meestal slecht data-lifecyclemanagement.

Soms is de reden ongemakkelijk eerlijk: data wordt bewaard “voor de business”, bijvoorbeeld voor betere beslissingen, toekomstige kandidaten of modeltraining.

Maar net zo vaak is het simpeler: het blijft liggen. Per ongeluk. Uit gemak. Of omdat niemand eigenaar is.

Een AVG bewaartermijn zonder control is een papieren afspraak

Bewustwording helpt, maar het is geen control. Als processen en tooling het “makkelijk” maken om data te downloaden, te delen en te laten liggen, dan gebeurt het ook.

Daarom hoort een AVG bewaartermijn altijd samen te gaan met:

duidelijke rollen en eigenaarschap
werkbare processen
technische maatregelen die gedrag sturen

Wat helpt wél: controls voor dataretentie en dataminimalisatie

Je hebt controls nodig die gedrag sturen:

Retention rules en automatische opschoning (per datacategorie en eigenaar)
DLP en endpoint-controls om lokale opslag te blokkeren of te monitoren
Periodieke reviews op data-locaties en gedeelde mappen
Waar relevant: tooling en processen voor (pseudo)anonimisering vóór hergebruik (zoals analytics of AI)

Dit ondersteunt ook dataminimalisatie (AVG): je bewaart en gebruikt niet meer persoonsgegevens dan nodig.

Snelle check: snel risico spotten in jouw organisatie

Kunnen we per datacategorie uitleggen wat de AVG bewaartermijn is, en waarom?
Is er een eigenaar per dataset, applicatie of gedeelde map?
Zien we persoonsgegevens buiten de officiële tooling terechtkomen (downloads, exports, shared drives)?
Kunnen we aantonen dat dataretentie en opschoning ook echt plaatsvinden?
Is het verwerkingsregister (AVG) actueel en gekoppeld aan bewaartermijnen?

Als je bij meerdere vragen twijfelt, is de kans groot dat er verborgen risico zit.

Praktische aanpak

Een werkbare aanpak is meestal:

Breng de belangrijkste datastromen en locaties in kaart (systemen, mappen, devices)
Koppel per categorie persoonsgegevens een bewaartermijn en eigenaar
Leg dit vast in beleid en in het verwerkingsregister
Richt dataretentie en automatische opschoning in
Zet DLP en monitoring in op de plekken waar data weglekt
Plan periodieke reviews en maak uitzonderingen expliciet

Wil je toetsen of jullie AVG bewaartermijnen in de praktijk kloppen?

Als je wilt weten waar persoonsgegevens te lang blijven liggen, begin dan met inzicht in datalocaties, bewaartermijnen en de controls die ontbreken.

We kunnen meekijken naar jullie AVG bewaartermijnen, het verwerkingsregister en de praktische inrichting van dataretentie en DLP.

Lees meer op de pagina Privacy/GDPR.

FAQ: Veelgestelde vragen

Hoe lang mag je persoonsgegevens bewaren volgens de AVG?

Zo lang als nodig is voor het doel waarvoor je de gegevens hebt verzameld. Daarna moet je verwijderen, anonimiseren of aantoonbaar archiveren volgens afspraken. In de praktijk betekent dit: per datacategorie een onderbouwde AVG bewaartermijn vastleggen en kunnen uitleggen waarom die termijn passend is.

Hoe bepaal je bewaartermijnen per type persoonsgegevens (klant, medewerker, leverancier)?

Door per categorie te kijken naar: het doel van verwerking, wettelijke of contractuele verplichtingen (bijv. fiscale of arbeidsrechtelijke termijnen), interne policies en het risico bij langer bewaren. Koppel vervolgens een eigenaar aan de dataset en leg de bewaartermijn vast in beleid en werkinstructies, zodat het niet afhankelijk is van individuele keuzes.

Moet een bewaartermijn in het verwerkingsregister (AVG) staan?

Ja, in de praktijk hoort dit daar thuis. Het verwerkingsregister is de plek waar je per verwerking vastlegt welke persoonsgegevens je verwerkt, met welk doel, wie betrokkenen zijn, en welke bewaartermijnen of criteria je hanteert. Als bewaartermijnen los zweven van het register, wordt naleving en aantoonbaarheid lastig.

Wat is het verschil tussen bewaartermijn, archiveren en back-ups?

Een bewaartermijn gaat over hoe lang je persoonsgegevens actief beschikbaar houdt voor een doel. Archiveren is bewaren onder striktere voorwaarden (beperkte toegang, duidelijke reden, vaak voor bewijs of compliance). Back-ups zijn bedoeld voor herstel na incidenten, niet als “extra archief”. In de praktijk gaat het vaak mis als back-ups of exports ongemerkt de facto een onbeperkte bewaartermijn worden.

Hoe zorg je dat AVG bewaartermijnen ook echt worden nageleefd?

Door bewaartermijnen te koppelen aan eigenaarschap en ze technisch af te dwingen. Denk aan dataretentie met automatische opschoning per datacategorie en locatie, periodieke reviews op gedeelde mappen en exports, en DLP/endpoint-controls om te voorkomen dat persoonsgegevens naar lokale opslag of onbeheerde locaties verdwijnen. Zonder die controls blijft het vaak bij een papieren afspraak.

Welke controls zijn het meest effectief om AVG bewaartermijnen af te dwingen?

De meeste impact zie je met een combinatie van:

Retention rules + automatische opschoning per datacategorie en eigenaar (zodat data niet “blijft liggen”)
DLP en endpoint-controls om downloads naar lokale opslag en ongecontroleerd delen te blokkeren of te monitoren
Periodieke reviews op data-locaties, gedeelde mappen en permissies (incl. exports)
Waar relevant: een werkbaar proces voor (pseudo)anonimisering vóór hergebruik (bijv. analytics/AI)

Contact

Wil je zeker weten dat jullie AVG bewaartermijnen ook echt worden nageleefd?

Als je wilt, kijken we mee waar persoonsgegevens in de praktijk blijven hangen, welke bewaartermijnen je hanteert en welke controls ontbreken. Je krijgt een helder overzicht van de grootste risico’s en de meest effectieve verbeterstappen rond dataretentie, DLP en eigenaarschap.