Back-ups en bewaartermijnen: waar moet ik op letten?
31 december 2018
De bewaartermijn van zeven jaar voor je financiële administratie is algemeen bekend. Maar hoe zit dat met de bewaartermijn van andere data? Zoals Cloud-data? Of vertrouwelijke informatie van klanten of sollicitanten? En andere persoonsgegevens?
Bewaartermijn zakelijke gegevens
In Nederland ben je als ondernemer verplicht een administratie bij te houden. Zo ben je verplicht alle werkzaamheden en financiële gegevens die te maken hebben met je bedrijf, zoals in- en verkoopfacturen, te administreren. Ook voor andere documenten die te maken hebben met de rechten en plichten van je onderneming heb je een bewaarplicht. Denk aan jaarrekeningen, maar ook vergaderstukken of oprichtingsstatuten.
En dat niet alleen. Als ondernemer heb je ook een fiscale bewaarplicht. Met andere woorden: alle gegevens die van belang zijn voor de heffing van belasting en invoerrechten dien je te bewaren. Al deze genoemde zakelijke documenten hebben een wettelijk bewaartermijn van zeven jaar.
Of je deze documenten nu in een archiefkast op kantoor bewaart of in de Cloud; de wettelijke bewaartermijn is altijd hetzelfde.
Maar er zijn ook uitzonderingen. Het contract van de mobiele telefoon van je werknemers bijvoorbeeld. Of een arbeidscontract. Voor contracten geldt deze bewaartermijn van zeven jaar niet. Niet in de Cloud en niet in je archiefkast.
Voor contracten geldt namelijk geen wettelijk bewaartermijn. Toch is het belangrijk om een contract te bewaren. Zeker als het contract nog loopt en ook als de looptijd verstreken is, kun je het contract beter nog een paar jaar bewaren. Je kan het maar zo nog eens nodig hebben.
Bewaren van persoonsgegevens
Kijk je naar persoonsgegevens, dan geldt er andere wet- en regelgeving. Digitale of papieren dossiers van personen bieden vaak een schat aan informatie. Zoals een medisch dossier waar precies in te vinden is welke medicijnen een patiënt gebruikt of een personeelsdossier waarin alles terug te vinden is over het functioneren van een werknemer.
Als huisarts of werkgever moet je deze dossiers vaak een langere tijd bewaren. Maar dat mag niet onbeperkt.
Hoe lang persoonsgegevens bewaard mogen worden, is geregeld in de Wet bescherming persoonsgegevens (Wpb). Daarin wordt gesteld dat organisaties gegevens niet langer mogen bewaren dan noodzakelijk is. Hoe lang dat is, verschilt per situatie.
Zo mag een huisarts de persoonsgegevens van een patiënt niet langer dan 15 jaar na de laatste behandeling bewaren.
Voor een werkgever is dat twee jaar na de datum van uitdiensttreding. Tenminste; waar het om persoonsgegevens gaat.
Voor de loonbelastingverklaring van een werknemer geldt weer een bewaringstermijn van vijf jaar (geen zeven). Deze loonbelastingverklaring valt immers onder de financiële gegevens van een onderneming, waar een bewaarplicht van vijf jaar voor geldt.
Het zijn de uitzonderingen die de regel bevestigen, maar je kunt ervan uitgaan dat de meeste persoonsgegevens twee jaar bewaard mogen blijven.
Maar hoe zit het dan met Cloud data back-up?
Voor de gegevens die zich in je Cloud data back-up bevinden, geldt dezelfde regelgeving. Je Cloud data back-up is immers niets anders dan dé reservekopie van je archief, die je in geval van nood kunt gebruiken om verloren gegevens zo snel mogelijk terug te zetten.
Voor wet- en regelgeving over de bewaartermijn maakt het niet uit waar je de gegevens bewaart.
De verantwoordelijkheid voor de beschikbaarheid van je gegevens gedurende de wettelijke verplichte bewaartermijn ligt hoe dan ook bij jezelf. Maak dus goede afspraken met de leverancier van je Cloud-oplossingen hierover.
Want wat gebeurt er met je bewaarde back-ups als de softwareleverancier de software update? Zijn je back-ups nog wel terug te lezen in de nieuwe versie? En hoe is dat over vijf of zeven jaar?
Staan je gegevens veilig in de Cloud?
Het bewaren van je gegevens in de Cloud kent vele voordelen. Je betaalt voor wat je gebruikt en kunt snel en eenvoudig opschalen. Volle harddisks of uitpuilende archiefkasten zijn daarmee verleden tijd.
Maar zijn je gegevens veilig in de Cloud? En wie is verantwoordelijk voor de bescherming van je data in de Cloud? Softwareleveranciers en providers zetten alles op alles om ervoor te zorgen dat gegevens veilig zijn. Ze investeren veel in de beveiliging van hun systemen en hebben teams met slimme technici in dienst die zorgen voor high level security. Dus ja, je gegevens zijn veilig in de Cloud.
Je bent zelf verantwoordelijk
Maar: de verantwoordelijkheid voor de veiligheid van je gegevens in de Cloud ligt grotendeels bij jezelf. Daar waar het aannemelijk is dat een Cloud-gebruiker zelf aan de veiligheid van de Cloud kan bijdragen, is de gebruiker verantwoordelijk.
Met andere woorden: als je een geïnfecteerd bestand uploadt, iemand je wachtwoord geeft of je laptop onbeheerd in een internetcafé achterlaat terwijl je bestanden aan het uploaden bent naar de Cloud en het gáát mis, dan ben jij verantwoordelijk.
Kortom, hoe je met de bescherming en beschikbaarheid van zakelijke en persoonsgegevens omgaat, is grotendeels vastgelegd in de wet.
Combineer gezond verstand met integriteit en bedenk hoe jij graag zou zien dat andere organisaties met jouw persoonsgegevens om zouden gaan, dan zit je al snel goed.