Hoelang bewaar jij klantgegevens?

Wat is er gebeurd?

Begin februari 2026 werd Odido getroffen door een cyberaanval, waarbij hackers zich toegang verschaften tot een klantcontactsysteem. Daarbij zijn persoonsgegevens van huidige en voormalige klanten van Odido buitgemaakt, waaronder namen, adressen, bankrekeningnummers en gegevens van identificatiebewijzen.

Het Financieele Dagblad meldt vandaag dat voormalige klanten van Odido, die naar eigen zeggen al vijf of tien jaar geleden zijn overgestapt, ook bericht hebben ontvangen dat hun persoonsgegevens zijn buitgemaakt. Dat is opmerkelijk, want Odido zegt in haar eigen privacystatement dat gegevens worden bewaard tot maximaal 2 jaar na het einde van het contract.  Hoe dit precies zit is nog niet bekend. Toch geeft dit aanleiding om na te denken over datamanagement binnen een organisatie.

Wat zegt de wet?

Het juridisch kader voor het bewaren van persoonsgegevens is met name geregeld in Algemene verordening gegevensbescherming (“AVG”). De AVG bevat een aantal beginselen waar iedere onderneming die persoonsgegevens verwerkt zich aan moet houden. Artikel 5, lid 1, sub c AVG schrijft het beginsel van dataminimalisatie voor: persoonsgegevens moeten "toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt". Daarnaast bepaalt artikel 5, lid 1, sub e AVG dat persoonsgegevens moeten "worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is".

De AVG vraagt bovendien van ondernemingen om termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Kort gezegd: een onderneming verzamelt niet meer gegevens dan nodig, bewaart gegevens niet langer dan nodig en legt vooraf vast wanneer gegevens worden verwijderd. Vervolgens voert de onderneming dit beleid daadwerkelijk uit. Doet een onderneming dat niet, dan loopt deze het risico op handhaving door bijvoorbeeld de Autoriteit Persoonsgegevens, met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de jaaromzet.

Het belang van datamanagement

AVG-compliance en datamanagement zijn vaak niet de kernactiviteit van een onderneming, waardoor deze niet altijd de aandacht krijgen die ze verdienen. Het is noodzakelijk datamanagement een integraal onderdeel te laten zijn van de bedrijfsvoering. De gevolgen van gebrekkig datamanagement kunnen enorm zijn.

Het hoeft niet ingewikkeld te zijn. Het begint bij het in kaart brengen van de persoonsgegevens die de onderneming verwerkt, voor welk doel de onderneming deze verwerkt, en hoelang de onderneming ze nodig heeft. Van daaruit stel je bewaartermijnen vast en richt je een proces in om gegevens tijdig te verwijderen. En minstens zo belangrijk: controleer regelmatig of de praktijk nog in lijn is met dit beleid. Door het regelmatig verwijderen van persoonsgegevens die de onderneming niet langer nodig heeft, houd je grip op de data waarvoor de onderneming uiteindelijk de verantwoordelijkheid draagt.

Meer weten?

Het team IE, IT & Privacy van LXA denkt graag met je mee over bewaartermijnen, datamanagement en AVG-compliance. Of het nu gaat om het inrichten van een retentiebeleid, het beoordelen van een datalek of het versterken van je privacybeleid: neem gerust contact met ons op.