Hoelang mag je als webwinkel persoonsgegevens bewaren?

Als webwinkelier verwerk je de persoonsgegevens van je klanten, zoals voor het afronden van een online bestelling. Deze persoonsgegevens zijn dan bijvoorbeeld noodzakelijk om de producten naar de klant te verzenden en de betaling(en) hiervoor te ontvangen. Ook als je hierna nieuwsbrieven verstuurt aan je klanten, kan een e-mailadres een persoonsgegeven zijn. Maar hoelang mag je deze gegevens eigenlijk bewaren? Vanaf 25 mei 2018 gelden hier de regels uit de Algemene verordening gegevensbescherming (AVG) voor. Hieronder geven we mede aan de hand van een paar voorbeelden aan wat dit voor jou als webwinkelier gaat inhouden.

Wat zegt de AVG over bewaartermijnen?

De AVG geeft geen concrete bewaartermijn waar je je als webwinkelier aan moet houden. Er zijn wel een aantal algemene beginselen in de verordening opgenomen en deze gelden voor iedere gegevensverwerking (met een wettelijke grondslag). Uit deze algemene beginselen volgt dat je als webwinkelier persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Dit was onder de Wet bescherming persoonsgegevens (Wbp en voorloper van de AVG) ook het uitgangspunt. Het doel van de gegevensverwerking kan, zoals hierboven al is aangegeven, bijvoorbeeld het uitvoeren en/of leveren van een bestelling zijn.

Wat als een noodzakelijke termijn voor het doel van de gegevensverwerking wordt geacht, mag je zelf bepalen, zolang je kunt verantwoorden waarom je deze bewaartermijn voor de gegevens hanteert. Je moet dus goed kunnen beargumenteren hoelang de gegevens van een consument bewaard worden voor het oorspronkelijke doel.

Houvast

De wet geeft voor een aantal verwerkingen wel een houvast. In verschillende wetten zijn concrete bewaartermijnen opgenomen waar je je aan dient te houden bij het verwerken van bepaalde persoonsgegevens. Dit worden wettelijke bewaarplichten genoemd en beschrijven een minimumbewaartermijn. Gegevens die voortvloeien uit een fiscale bewaarplicht, zoals loonbelastingverklaringen en de debiteuren- en crediteurenadministratie, dienen bijvoorbeeld zeven jaar te worden bewaard. Iedere ondernemer is namelijk wettelijk verplicht zijn administratie voor deze termijn te bewaren. Om de consument wettelijke garantie te kunnen bieden op hetgeen je als webshop verkoopt, moeten ook gegevens worden bewaard. Denk hierbij bijvoorbeeld aan de naw-gegevens van een klant, die je koppelt aan een aankoopdatum.

De AVG geeft ook aan dat als persoonsgegevens na gebruik worden geanonimiseerd, dat deze wel langer mogen worden gebruikt dan voor een specifiek doel, zolang de klant daarmee dus niet meer (direct of indirect) kan worden geïdentificeerd. Verder zijn er nog een paar uitzonderingen opgenomen voor de archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden. Hier krijg je als webshop echter niet snel mee te maken.

Wat betekent dit allemaal in de praktijk?

Zorg dat je er per verwerking weet hoelang je bepaalde persoonsgegevens (afhankelijk van het doel waarvoor je ze verzamelt) mag bewaren. Vervolgens is het zaak dat je er op het juiste moment aan wordt herinnerd dat je de gegevens die je niet meer mag gebruiken ook daadwerkelijk verwijdert. Dit kun je doen door het nemen van de juiste technische en organisatorische maatregelen in je organisatie.

Ten opzichte van de Wbp is er in de AVG een extra verplichting voor ondernemers met betrekking tot het bewaren van persoonsgegevens opgenomen. De bewaartermijnen die je hanteert moeten schriftelijk worden vastgelegd in een intern bewaarbeleid, en opgenomen worden in een verwerkingsregister. Daarnaast dient de consument te worden geïnformeerd over de bewaartermijnen die je als webshop hanteert, bijvoorbeeld in een privacyverklaring. Het is belangrijk om te weten dat je bij alle gegevensverwerkingen aan bovenstaande eisen voldoet.

De Thuiswinkel Privacytool helpt je verder

Om je te helpen bij het voldoen aan bovenstaande verplichtingen heeft Thuiswinkel.org in samenwerking met ICTRecht en PrivacyBlox de Thuiswinkel Privacytool ontwikkeld. Dit gratis hulpmiddel is exclusief voor leden en helpt hen bij het zelfstandig kunnen toepassen van de nieuwe wetgeving. Zo helpt de Thuiswinkel Privacytool bij het opzetten en bijhouden van een  verwerkingsregister en bij het opstellen van een privacyverklaring. Gebruik de vragenlijst voor dataverwerkingen en houd al je verwerkingsactiviteiten zorgvuldig bij. Lees hier meer over de Thuiswinkel Privacytool.