Agnes bekijkt een overzicht van bewaartermijnen per tool op haar scherm, met een kalender op de achtergrond

Hoe stel je een dataretentiebeleid op dat je ook echt uitvoert?

AVG, Compliance, MKB

Elke compliancechecklist zegt hetzelfde: "documenteer je bewaartermijnen." Maar niemand legt uit hoe je klantdata verwijdert uit een CRM dat je salesteam dagelijks gebruikt. Of hoe je omgaat met factuurgegevens die fiscaal zeven jaar bewaard moeten blijven, maar waarbij de contactpersoon al lang weg is.

Een retentiebeleid op papier is één ding. Een retentiebeleid dat je ook echt uitvoert, is een ander.

Dit stappenplan helpt je een beleid te bouwen dat werkt in de praktijk, niet alleen in een Word-document.

Waarom een retentiebeleid zonder uitvoering niets waard is

De AVG vereist dat je persoonsgegevens niet langer bewaart dan noodzakelijk voor het doel waarvoor je ze hebt verzameld. Dat principe heet dataminimalisatie (Art. 5(1)(e)).

De meeste bedrijven begrijpen het principe. Het probleem zit in de uitvoering. Data verdwijnt niet vanzelf. Zonder een concreet plan voor verwijdering stapelt het zich op, in je CRM, je e-mailarchief, je boekhoudtool, je klantenserviceplatform.

En als de Autoriteit Persoonsgegevens vraagt hoe lang je klantdata bewaart, is "we hebben een beleid" niet genoeg. Ze willen weten of je het ook daadwerkelijk doet.

Stap 1: Maak een overzicht van je dataverzamelpunten

Voordat je bewaartermijnen kunt instellen, moet je weten waar je data binnenkomt en waar het terechtkomt.

Loop je meest gebruikte tools langs. Stel per tool de volgende vragen:

  • Welke persoonsgegevens worden hier opgeslagen?
  • Van wie zijn die gegevens (klanten, medewerkers, prospects, leveranciers)?
  • Hoe lang heb je die gegevens nodig voor het doel waarvoor je ze hebt verzameld?

Typische dataverzamelpunten voor een Nederlandse mkb-organisatie: CRM (klant- en prospectdata), boekhoud- of facturatiesoftware (klant- en leveranciersgegevens), e-mailtool of nieuwsbriefplatform (abonneedata), HR-systeem (medewerkersdossiers), klantenserviceplatform (tickethistorie), analysetools op je website (gebruikersgedrag via IP of cookies).

Je hoeft dit niet in één middag te doen. Begin met de vijf tools die het meeste klantdata bevatten. De rest volgt.

Als je al een verwerkingsregister hebt, is dit het moment om het te raadplegen. Je inventaris van verwerkingsactiviteiten is de basis van je retentiebeleid.

Stap 2: Stel bewaartermijnen per categorie vast

Je kunt geen universele bewaartermijn hanteren voor alle data. Elke categorie heeft zijn eigen logica, soms wettelijk opgelegd, soms vanuit de bedrijfsvoering.

Hieronder een praktisch overzicht voor mkb-bedrijven:

Financiële administratie: Zeven jaar bewaarplicht vanuit belastingwetgeving (Art. 52 AWR). Dit geldt voor facturen, contracten met financiële waarde en betalingsgegevens. Let op: de financiële administratie moet je bewaren, maar dat betekent niet dat je de volledige klantprofielen zeven jaar mag aanhouden.

Klantdata na einde van de relatie: Als vuistregel twee jaar na het einde van een klantrelatie, tenzij je een geldige grond hebt om langer te bewaren (bijvoorbeeld lopende garantie of wettelijke aansprakelijkheidsperiode). Soms is één jaar voldoende.

Prospectdata in je CRM: Mensen die nooit klant zijn geworden, hebben je minder aanleiding gegeven om hun data te bewaren. Als iemand al een jaar lang geen interactie heeft gehad, is het tijd om de data te verwijderen of te vragen om hernieuwde toestemming.

Sollicitantendata: Maximaal vier weken na afronding van de selectieprocedure, tenzij de kandidaat toestemming geeft voor langer bewaren (maximaal één jaar voor toekomstige vacatures).

Medewerkersdossiers: Zeven jaar na uitdiensttreding voor fiscaal relevante gegevens. Andere onderdelen van het dossier (beoordelingen, ziektehistorie) kennen kortere termijnen. Raadpleeg HR-wetgeving voor je specifieke situatie.

E-maillijsten en nieuwsbriefabonnees: Zolang iemand actief abonnee is. Slapende abonnees die al twee jaar geen e-mail hebben geopend en niet reageren op een reactiveringscampagne, verwijder je.

Leg elke beslissing vast. Beschrijf niet alleen de termijn, maar ook de grondslag. "We bewaren klantdata twee jaar omdat dat noodzakelijk is voor garantieclaims" is een verantwoord oordeel. "We weten het niet" is dat niet.

Stap 3: Controleer de retentie-instellingen van je tools

Dit is het deel dat de meeste bedrijven overslaan, en precies waar het mis gaat.

Een retentiebeleid op papier heeft pas waarde als de tools er ook naar handelen. Ga per tool na welke mogelijkheden er zijn.

Tools met ingebouwde retentie-instellingen: Veel CRM-platforms (HubSpot, Pipedrive, Salesforce) bieden de mogelijkheid om contacten automatisch te archiveren of verwijderen na een ingestelde periode van inactiviteit. Google Analytics 4 laat je de gegevensretentie instellen op 2 of 14 maanden. Mailchimp en ActiveCampaign bieden de optie om niet-actieve abonnees automatisch uit te schrijven of te verwijderen.

Tools zonder ingebouwde retentie: Als een tool geen automatische verwijdering biedt, heb je twee opties. De eerste is een handmatige procedure: plan een vaste moment in per kwartaal of per jaar waarop een verantwoordelijke de lijsten doorloopt en verouderde data verwijdert. De tweede is je leverancier aanspreken: je Verwerkersovereenkomst met de leverancier kan de verplichting bevatten om data te verwijderen op jouw verzoek. Gebruik die bepaling ook daadwerkelijk.

Leg de instellingen per tool vast in je retentiebeleid. "In HubSpot hebben we de automatische archivering ingesteld op 18 maanden inactiviteit. In ons boekhoudpakket voeren we jaarlijks een handmatige verwijdering uit van contacten ouder dan zeven jaar."

Bekijk hoe ComplianceHive je helpt retentie-instellingen per tool te documenteren.

Stap 4: Wijs eigenaarschap toe per categorie

Een beleid zonder eigenaar wordt niet uitgevoerd. Dat is een wetmatigheid, geen uitzondering.

Benoem per datacategorie wie verantwoordelijk is voor het uitvoeren van de verwijderprocedure. Dat hoeft geen fulltimefunctie te zijn. Het is een verantwoordelijkheid die je concreet belegt.

Voorbeelden:

  • CRM-data: verantwoordelijkheid bij de salesmanager, die elk kwartaal inactieve contacten opschoont.
  • Boekhouddata: verantwoordelijkheid bij de financieel verantwoordelijke, die jaarlijks de retentietermijnen controleert.
  • HR-data: verantwoordelijkheid bij de HR-medewerker of de leidinggevende, die bij uitdiensttreding het dossier beoordeelt.
  • Nieuwsbrieflijst: verantwoordelijkheid bij marketing, die halfjaarlijks niet-actieve abonnees verwijdert.

Schrijf de eigenaren in je beleid. Zorg dat zij weten wat de verwachting is en beschikken over de toegang om de verwijderingen ook daadwerkelijk uit te voeren.

Stap 5: Plan vaste momenten voor uitvoering

Datahygiëne werkt het beste als het een vast ritme heeft, niet als ad-hocactie bij een incident.

Stel een kalender in met vaste momenten voor retentiecontroles. Voor de meeste mkb-bedrijven werkt het volgende ritme goed:

Maandelijks: controleer of nieuwe tools zijn toegevoegd die data verzamelen en nog niet in het beleid zijn opgenomen.

Elk kwartaal: loop de CRM-inboxen en e-maillijsten na op inactieve contacten en verwijder wat de termijn heeft bereikt.

Jaarlijks: volledige review van het retentiebeleid. Zijn de bewaartermijnen nog correct? Zijn er nieuwe wettelijke verplichtingen? Zijn de eigenaren nog actueel?

Zet die momenten in de agenda van de verantwoordelijken. Niet als een open taak, maar als een afspraak.

Stap 6: Documenteer je beleid en houd het actueel

Een retentiebeleid is een levend document. Je tools veranderen, je bedrijf groeit, de wetgeving evolueert.

Documenteer per datacategorie:

  • Welke gegevens worden bewaard
  • Voor welk doel
  • Op welke rechtsgrondslag
  • Hoe lang
  • Wie verantwoordelijk is voor verwijdering
  • Welke tool de data bevat en hoe de verwijdering technisch wordt uitgevoerd

Update het document als je een nieuwe tool in gebruik neemt. Zorg dat nieuwe medewerkers die verantwoordelijk zijn voor data, het beleid kennen en begrijpen.

In ComplianceHive leg je retentieafspraken per tool vast in je verwerkingsregister, zodat beleid en uitvoering op dezelfde plek staan.

De meest gemaakte fout: beleid zonder verwijderprocedure

Je kunt een prachtig retentiebeleid hebben met correcte bewaartermijnen voor elke datacategorie. Als je niet ook beschrijft hoe je de verwijdering uitvoert, wie dat doet en wanneer, heb je nog steeds niets.

De Autoriteit Persoonsgegevens vraagt niet alleen of je beleid hebt. Ze vragen of je het uitvoert. Het bewijs van uitvoering zit in de verwijderlogs, de afgeronde taken en de gedocumenteerde procedures.

Begin klein. Pak één tool. Stel de retentie-instelling in of maak een handmatige procedure. Leg het vast. Dan de volgende.

Klaar om je retentiebeleid ook in de praktijk te brengen? ComplianceHive helpt je bewaartermijnen per verwerkingsactiviteit vast te leggen en bij te houden, zodat beleid en uitvoering op één plek samenkomen. Probeer 30 dagen gratis.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist of privacyspecialist voor een beoordeling die specifiek is voor jouw situatie.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis