Het correct bewaren en vernietigen van gegevens is cruciaal om te voldoen aan wettelijke verplichtingen en de AVG. Bewaar persoonsgegevens niet langer dan noodzakelijk en volg specifieke wetgeving zoals de Archiefwet en onderwijswetten.
Stappen voor Implementatie
- Bepaal de Wettelijke Bewaartermijnen: Gebruik het Bewaartermijnenoverzicht om te zien of er specifieke wettelijke termijnen zijn voor de gegevens die je verwerkt.
- Geen Wettelijke Termijn? Volg de Richtlijnen: Raadpleeg de richtlijnen in het bewaartermijnenoverzicht wanneer er geen specifieke wettelijke termijn is. Pas de richtlijn toe en documenteer afwijkingen zorgvuldig.
- AVG-regel: Indien geen wettelijke termijn of richtlijn, hanteer de AVG-hoofdregel: bewaar gegevens niet langer dan noodzakelijk voor het doel.
- Stel een Bewaartermijnenbeleid op: Documenteer de termijnen en procedures in een formeel beleid. Dit moet goedgekeurd worden door het schoolbestuur en ter instemming worden voorgelegd aan de (G)MR. Zie eventueel ook onze template voor een bewaar- en vernietigingsbeleid.
- Periodieke Controle: Controleer jaarlijks of het beleid actueel is en voldoet aan nieuwe wet- en regelgeving.
Procedure voor Vernietiging van Gegevens:
- In kaart brengen van Gegevens: Inventariseer welke gegevens worden verzameld en in welke systemen deze zijn opgeslagen.
- Procedure voor Vernietiging: Stel vast hoe gegevens vernietigd worden, inclusief verantwoordelijkheden en tijdstippen.
- Automatiseer Waar Mogelijk: Stel bewaartermijnen automatisch in systemen in.
- Tijdige Verwijdering: Verwijder gegevens op het juiste moment, zowel digitaal als op papier.
- Toezicht en Rapportage: De functionaris gegevensbescherming (FG) controleert en rapporteert over de verwijdering.
- Periodieke Evaluatie: Evalueer het proces jaarlijks om actueel te blijven en verantwoordelijkheden goed te beleggen.
Let op:
- Back-up en Recovery: Verwijder gegevens ook uit back-ups.
- Papieren en Digitale Informatie: Digitaliseer papieren documenten zorgvuldig.
- Anonimiseren: Gegevens langer bewaren voor analyse door ze te anonimiseren.
- Rechten van Betrokkenen: Respecteer het recht op inzage en verwijdering volgens de AVG.
Kennisnet heeft ook een document met alle wettelijke bewaartermijnen ter beschikking gesteld. Onderstaand overzicht bevat volgens Lumen Group de meest belangrijke:
| Leerlingdossier Personeelsdossier | 2 jaar NA uitschrijving of uitdiensttreding | |
| Wanneer een leerling is doorverwezen naar speciaal onderwijs | 3 jaar Na vertrek van een leerling | |
| Gegevens vanuit de personeelsadministratie | 5 jaar NA uitdiensttreding van de werknemer. | LAS en LVS zijn tegenwoordig vaak gecombineerd in een systeem. Maar, de bewaartermijn voor vijf jaar alleen voor de administratieve gegevens. |
| Verzuim en afwezigheid, gegevens omtrent in- en uitschrijving. | 5 jaar NA uitdiensttreding van de werknemer. | |
| Onderwijskundig rapport. | 5 jaar NA eerste vastlegging per onderwijsjaar (De eerste drie jaar kan er uitwisseling plaatsvinden tussen de po- en de vo-school.) | |
| Alle gegevens uit het LAS, de leerlingenadministratie | 5 jaar NA vastlegging per onderwijsjaar | |
| Financiële stukken (belasting) | 7 jaar bewaren na definitieve opstelling | |
| Fiscale gegevens van personeelsleden, zoals de fiscaal relevante gegevens uit de salarisadministratie. (belasting) | 7 jaar na uitdiensttreding |
Enkele tips om hiermee aan de slag te gaan
- Wanneer persoonsgegevens niet meer noodzakelijk zijn, dienen ze gewist te worden.
- Plan periodiek (kwartaal, per half jaar, per jaar) een moment in voor een digitaal ‘opruimmoment.
- Zo zorg je voor de zorgvuldigheid van de gegevens van betrokkenen én voor de structuur in eigen archief.
- Wees ervan bewust dat opschonen onder de verwerkersverantwoordelijkheid van de school/bestuur valt en dus niet is af te schuiven op externe leveranciers. Het bestuur moet dit dus goed in de gaten houden.
