Wij hebben een bestelhistorie opgebouwd zonder toestemming van de klant. Moeten we deze gegevens nu verwijderen?

Onder de AVG (en ook al de oude Wbp) moet je kunnen aantonen dat je toestemming hebt gekregen van de betrokkenen personen. Als je niet kunt aantonen dat je toestemming van je klanten hebt gekregen om hun persoonsgegevens al jarenlang te bewaren, moet je deze gegevens wissen. Er is namelijk geen andere grondslag om de gegevens zo lang te bewaren.

Om de gegevens van je klanten te bewaren heb je een grondslag nodig. De uitvoering van een overeenkomst is bijvoorbeeld zo’n grondslag. Jarenlang gegevens bewaren kan echter alleen met de expliciete toestemming van de betrokkene. Het informeren in de privacyverklaring is daarom onvoldoende.

Je hebt een wettelijke fiscale bewaartermijn van zeven jaar. Als je de gegevens voor je klant alleen bewaart voor deze wettelijke plicht, mogen de gegevens van de betrokkene alleen nog maar in het boekhoudsysteem staan, waarvoor je apart moet inloggen en waartoe alleen de directeur en de financiële afdeling toegang hebben. Na zeven jaar is er geen grondslag meer om deze gegevens te bewaren en moet je ze verwijderen.