Direct naar de inhoud
AMPthilly-startpagina
Aan de slag
Compliance en audit

Wat is een bewaarbeleid voor gegevens?

Basis van een bewaarbeleid voor gegevens: wat het dekt, typische bewaartermijnen, hoe het samenhangt met de AVG, en wat het betekent voor uitgefaseerde apparaten en records.

AMPthilly Bijgewerkt

Een bewaarbeleid voor gegevens bepaalt hoe lang een organisatie elk type record of gegeven bewaart, en wanneer en hoe die gegevens veilig verwijderd of vernietigd moeten worden.

Een bewaarbeleid voor gegevens (data retention policy) is een document dat bepaalt hoe lang een organisatie elk type record of gegeven bewaart, en wanneer en hoe die gegevens veilig verwijderd of vernietigd moeten worden zodra de termijn afloopt. Het beantwoordt twee vragen die anders per ongeluk worden beantwoord: “waarom hebben we dit nog?” en “wie zei dat we dat mochten verwijderen?”. In de praktijk staat het naast het bredere asset management policy, omdat de gegevens die het regelt op de laptops, telefoons en schijven staan die dat beleid volgt.

Wat een bewaarbeleid voor gegevens dekt

Een bruikbaar beleid is een tabel, geen essay. Voor elke recordcategorie vermeldt het:

  • Het recordtype - facturen, contracten, personeelsdossiers, camerabeelden, e-mail, klantgegevens, systeemlogboeken.
  • De bewaartermijn - hoe lang het wordt bewaard, en wat de klok start (aanmaak, einde contract, vertrek medewerker).
  • De juridische of zakelijke onderbouwing - de wet, regelgeving of operationele behoefte achter de termijn.
  • De verwijderingsmethode - veilige verwijdering, data sanitization van het apparaat, of fysieke vernietiging.
  • De eigenaar - wie verantwoordelijk is voor de categorie en wie de verwijdering uitvoert.

Hoe bewaartermijnen worden vastgesteld

Termijnen komen uit drie richtingen. De wet stelt minimums vast: financiële en fiscale records hebben doorgaans verplichte termijnen van meerdere jaren, en arbeids-, loon- en gezondheidsrecords hebben eigen regels afhankelijk van het rechtsgebied. Contracten en verzekeraars kunnen eigen eisen toevoegen. Al het overige is een zakelijke afweging - en de eerlijke standaard voor gegevens zonder onderbouwing is “verwijderen”, niet “voor altijd bewaren voor het geval dat”.

Bewaren en de AVG

Voor persoonsgegevens maakt het opslagbeperkingsbeginsel van de AVG bewaren van goed huishouden tot een wettelijke plicht: persoonsgegevens mogen niet langer bewaard worden dan nodig is voor het doel. Dat werkt beide kanten op - het beleid moet bewaren onderbouwen, en het moet ook wettelijke minimums respecteren die u sommige records dwingen te bewaren, zelfs na een verzoek tot verwijdering. Het bewaarschema is waar die twee krachten schriftelijk met elkaar in evenwicht worden gebracht, voordat een toezichthouder of auditor ernaar vraagt.

Wat het betekent voor uitgefaseerde apparaten

Het deel dat de meeste beleidsdocumenten te summier behandelen is hardware. Elke laptop, telefoon of server die uit dienst gaat, is een data-bearing device, en de records erop vallen niet buiten het beleid alleen omdat de machine in een kast staat. Een bewaarbeleid dat echt iets voorstelt zegt wat er aan het einde van de levensduur gebeurt: welke apparaten moeten worden gewist vóór hergebruik of doorverkoop, welke vernietigd moeten worden, en welk bewijs wordt bewaard - meestal een certificaat van een ITAD-leverancier of een intern wislogboek gekoppeld aan het serienummer van het apparaat. Teams met een assetregister vinden dit deel makkelijk te onderbouwen; in AMPthilly geven de auditgeschiedenis en bijgevoegde documenten op elk assetrecord u een trail per apparaat die toont wanneer het buiten gebruik is gesteld en welk bewijs van afvoer bestaat.

Veelgemaakte fouten

  • Alles voor altijd bewaren. Opslag is goedkoop, maar oude gegevens zijn puur een risico - ze kunnen worden gelekt, opgevraagd via een dagvaarding of opgevraagd via inzageverzoeken lang nadat ze nutteloos zijn geworden.
  • Een beleid dat niemand uitvoert. Een schema dat zegt “verwijder na afloop van de termijn” zonder specifieke eigenaar en zonder terugkerende taak is een papieren beleid.
  • Kopieën vergeten. Exports, backups, duplicaten op gedeelde schijven en de schijf in de oude laptop van een vertrekkende medewerker overleven allemaal de “officiële” kopie tenzij het beleid ze meeneemt.
  • Geen bewijs van verwijdering. Wanneer u gevraagd wordt te bewijzen dat een record of apparaat is vernietigd, is “we zijn er vrij zeker van dat het zo was” geen antwoord dat een auditor accepteert.

Gerelateerde termen

  • Asset Management Policy - het bredere beleid voor de apparatuur waarop de gegevens staan
  • Acceptable Use Policy - de regels voor hoe medewerkers apparaten en gegevens dagelijks gebruiken
  • ITAD - het afvoerproces dat het beleid uitvoert aan het einde van de hardwarelevenscyclus
  • Data Sanitization - de methoden om verwijdering permanent te maken
  • Data-Bearing Device - elke asset die gegevens opslaat en daarom onder het beleid valt
Begrippenlijst

Verder lezen

Gerelateerde gidsen

Begrippen uit deze gids

Gratis starten, geen creditcard nodig

Laat uw register het werk doen

AMPthilly geeft elk asset een eigenaar, een locatie en een geschiedenis - uitgifte en retour, printbare QR-labels, servicedesk en audittrail op één plek. Het gratis abonnement is goed voor 3 gebruikers en 25 assets, inclusief SSO en MFA.

Gratis starten Bekijk de functies