Een bewaarbeleid definieert hoe lang je organisatie verschillende categorieën data bewaart en wanneer die data verwijderd moet worden. Onder de AVG mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het oorspronkelijke doel. Voor AI-startups geldt dit ook voor trainingsdata, gebruikersinteractielogs en modeloutput.
Hoe stel je er een op:
- Categoriseer je data: Maak een lijst van alle datatypes die je opslaat — klantdata, medewerkersdata, AI-trainingsdata, logs, analytics, backups. Groepeer op doel en gevoeligheid.
- Bepaal bewaartermijnen: Bepaal voor elke categorie hoe lang je het nodig hebt. Sommige hebben wettelijke minimumtermijnen (bijv. financiële administratie: 7 jaar), terwijl de meeste persoonsgegevens verwijderd moeten worden wanneer ze niet meer nodig zijn.
- Automatiseer verwijdering: Richt automatische opschoontaken of retentieregels in voor je database en cloudopslag. Handmatig verwijderen schaalt niet en is foutgevoelig.
- Regel uitzonderingen: Definieer een proces voor legal holds (wanneer data bewaard moet worden voor rechtszaken) en verwijderingsverzoeken van betrokkenen (AVG recht op vergetelheid).
- Evalueer jaarlijks: Bewaarbeleid verandert naarmate je product en het juridische landschap evolueren. Plan een jaarlijkse evaluatie in.
De Autoriteit Persoonsgegevens biedt richtlijnen over het recht op vergetelheid en bewaring. Tidal Control helpt je bewaartermijnen te documenteren en te koppelen aan je verwerkingsregister voor een compleet auditspoor.