Bewaren en vernietigen van gegevens
Scholen bewaren veel gegevens van leerlingen en ouders, maar ook informatie die voortkomt uit de financiële, inkoop- en personeelsadministratie. Al deze gegevens zijn nodig voor een bepaald doel, maar ze mogen niet oneindig lang worden bewaard. Voor ieder gegeven dat wordt opgeslagen, geldt een bepaalde bewaartermijn. Na verloop van die periode moeten de gegevens worden vernietigd.
Resultaat van dit deelproject
- Bewaartermijnenoverzicht opgesteld.
- Bewaar- en vernietigingsbeleid opgesteld.
- Proces voor het verwijderen van data ingericht.
Normen bij dit deelproject
Wettelijke bewaartermijnen
PersoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. mogen volgens de AVG niet langer worden bewaard dan noodzakelijk, maar de AVG geeft geen bewaartermijnenDe (wettelijke) periode dat een (persoons)gegeven bewaard moet worden.. In andere specifieke wet- en regelgeving staan wel bewaartermijnen. Dit noemen we wettelijke bewaartermijnen.
- Onderwijswetgeving bepaalt hoelang bepaalde gegevens van leerlingen en hun schoolloopbaan moeten worden bewaard.
- Het Burgerlijk Wetboek bevat regels voor het bewaren van financiële administraties en jaarrekeningen.
- Fiscale wetgeving bevat regels voor het bewaren van facturen.
Bestaat er geen wettelijke bewaartermijn? Dan geldt de hoofdregel van de AVG: niet langer bewaren dan noodzakelijk. Je zult dan zelf moeten bepalen hoelang je (persoons)gegevens bewaart.
Vaststellen van bewaartermijnen
Om je te helpen bewaartermijnen vast te stellen is een bewaartermijnenoverzicht gemaakt. Daarin vind je voor verschillende gegevens die op school worden bewaard de wettelijke bewaartermijnen of een richtlijn voor het bewaren van gegevens. In het overzicht staan persoonsgegevens centraal, maar het helpt ook bij het bepalen van bewaartermijnen voor andere informatie.
Archiefwet en selectielijsten
Het onderwijs heeft volgens de wet een aantal openbaar-gezagtaken. Documenten die bij die openbaar-gezagtaken horen – denk aan examens, diploma’s, cijferlijsten en besluiten tot verlenen van vrijstelling op grond van de Leerplichtwet – vallen onder de Archiefwet en vanwege die wet is het verplicht ze te bewaren. Deze documenten zijn inclusief de bijbehorende bewaartermijn vastgelegd in zogeheten selectielijsten. Nu zijn schoolbesturen en samenwerkingsverbanden zelf verplicht om deze samen te stellen. De nieuwe Archiefwet – die waarschijnlijk in 2026 ingaat – maakt het mogelijk dat de PO-Raad en VO-raad een selectielijst opstellen die geldt voor de gehele sector, een zogeheten groepsselectielijst.
Let op
Kennisnet raadt aan om tot de ingang van de nieuwe Archiefwet geen documenten en persoonsgegevens te vernietigenHet definitief verwijderen van gegevens, zodat de persoonsgegevens niet meer aanwezig of terug te halen zijn. die behoren bij de openbaar-gezagtaken van schoolbesturen en daarom onder de Archiefwet vallen. Zodra de minister de selectielijst heeft vastgesteld en deze is gepubliceerd in de Staatscourant, kun je de bewaartermijnen uit de lijst gaan toepassen.
Wie doet wat
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. stelt het bewaartermijnenbeleid vast.
- De IBP’er, ICT-coördinator of privacy officerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. stelt de bewaartermijnen vast op basis van het bewaartermijnenoverzicht. Ook stelt deze het proces op voor het vernietigen van persoonsgegevens waarvan de bewaartermijn is verstreken en draagt systeemeigenaren op dit proces te volgen.
- Systeem- en proceseigenaren bepalen wat er wel en niet met bepaalde data mag gebeuren, zoals leerling-, financiële en HR-gegevens. Zij bepalen voor hun data de bewaartermijnen en nemen deze op in het bewaartermijnenbeleid.
- Het hoofd ICT past de procedure voor het vernietigen van persoonsgegevens toe. In de praktijk betekent dit dat de systeemeigenaar de functioneel beheerder van het systeem (de applicatie) de opdracht geeft om de gegevens waarvan de bewaartermijn is verstreken, te verwijderen. De systeemeigenaar informeert de functionaris gegevensbescherming en systeem- en proceseigenaren over de verwijdering.
- De functionaris gegevensbescherming (FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).) controleert of de persoonsgegevens zijn verwijderd en rapporteert aan het College van Bestuur (CvB).
Aan de slag
Met het volgen van onderstaande stappen richt jij het bewaren en vernietigen van gegevens in voor jouw organisatie.
1. Breng in kaart welke persoonsgegevens je verzamelt
Om te bepalen hoelang je gegevens mag bewaren, moet je een beeld hebben van welke gegevens je verzamelt en in welke systemen deze informatie is opgeslagen. Binnen het deelproject Processen en verwerkingsregister heb je dit in kaart gebracht. De resultaten van dat deelproject kun je gebruiken bij deze stap.
2. Bepaal de bewaartermijnen met het bewaartermijnenoverzicht
In het bewaartermijnenoverzicht (xls) vind je bewaartermijnen voor documenten en gegevens die in het onderwijs voorkomen. Als er een wettelijke bewaartermijn geldt, is dat aangegeven. Geldt er geen wettelijke bewaartermijn? Dan is er in het overzicht een richtlijn aangegeven. Staan het type gegevens of document dat jij zoekt er niet in? Hanteer dan de hoofdregel van de AVG: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel waarvoor de persoonsgegevens worden verwerkt. Stel in dat geval zelf vast wat een passende bewaartermijn is.
3. Maak een bewaartermijnenbeleid
Maak een bewaartermijnenbeleid. Je kunt hiervoor het voorbeelddocument bewaartermijnenbeleid (docx) gebruiken. Wijk je af van de richtlijnen die in het bewaartermijnenoverzicht worden gegeven? Motiveer en documenteer deze keuze dan in het bewaartermijnenbeleid. Let op: van wettelijke termijnen mag je niet afwijken. Stel het bewaartermijnenbeleid vast en leg het ter instemming voor aan de gemeenschappelijke medezeggenschapsraad (GMR).
4. Maak een bewaartermijnenoverzicht
Leg de bewaartermijnen vast in een bewaartermijnenoverzicht dat je toevoegt aan het bewaartermijnenbeleid. Je kunt hiervoor het bewaartermijnenoverzicht (xls) gebruiken en aan de hand van de filters de termijnen selecteren die van toepassing zijn op jouw situatie.
5. Stel een proces vast voor het vernietigen van gegevens
Leg vast hoe de vernietiging van gegevens praktisch is geregeld. Stel een proces op waarin staat wie wat doet en wanneer. Je kunt hiervoor het voorbeelddocument procesbeschrijving bewaren en vernietigen (docx) gebruiken. Overleg met je systeembeheerder of het mogelijk is om binnen bepaalde applicaties dit proces te automatiseren. Zorg ervoor dat ook papieren gegevens op tijd worden vernietigd volgens de hiervoor vastgestelde bewaartermijn. Je bewaart niet altijd zelf de gegevens van leerlingen of medewerkers. Maak daarom ook afspraken over het bewaren en vernietigen van gegevens met leveranciersAanbieders van ict- of leermiddelen. die namens jou gegevens verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming..
Tip: vergeet je back-ups en mobiele apparaten niet
Heb je gegevens uit een systeem verwijderd? Let op: dan kan het zo zijn dat ze nog in een back-upEen reservekopie van gegevens, zodat bij beschadiging of verlies van gegevens herstel
kan plaatsvinden. staan. Zorg dat je deze gegevens alsnog verwijdert bij het terugzetten van de back-up. Vergeet ook bij hergebruik van devices, zoals mobiele telefoons, niet de gegevens van de vorige medewerker te verwijderen.
6. Houd toezicht, controleer en rapporteer
De systeemeigenaar houdt toezicht op het tijdig vernietigen van gegevens. De functionaris gegevensbescherming (FG) controleert in afstemming met de systeemeigenaar en functioneel (applicatie)beheerder of persoonsgegevens volgens het vastgestelde beleid zijn verwijderd. De FG rapporteert hierover aan de systeemeigenaar en het CvB. Eigenaarschap van je systemen heb je vastgelegd in het deelproject Systeem- en data-eigenaarschap en configuratiebeheer.
7. Evalueer je beleid en procedure periodiek
Controleer minimaal jaarlijks of het proces van bewaren en vernietigen van persoonsgegevens actueel is en de verantwoordelijkheden bij de juiste personen zijn belegd. De functionaris gegevensbescherming controleert het bewaartermijnenbeleid en de IBP’er wijzigt bewaartermijnen naar aanleiding van nieuwe wet- en regelgeving. De bestuurder stelt het beleid dan opnieuw vast.
Voorbeelddocumenten
Meer informatie
- Lees meer over wettelijke bewaartermijnen voor openbaar gezagtaken op de website van de PO-Raad of de website van de VO-raad.
- De beveiligingsmaatregelen voor het bewaren van de gegevens bepaal je via je securitybaselines. Hier ga je mee aan de slag in het deelproject Securitybaselines.