Degene die naar aanleiding van de titel verwachten dat ik hier de wettelijke bewaartermijnen overzichtelijk weer ga geven moet ik teleurstellen. Kijkend naar risicomanagement is dat een te groot risico, ik kan zomaar een verkeerde termijn noemen waardoor jij in de problemen komt. Nee, we gaan in op het feit dat we deze termijnen moeten achterhalen en dat we keuzes moeten maken over de informatie die we wel en niet bewaren.
De vraag is daarom:
Zijn de bewaartermijnen (wettelijke, organisatie vastgestelde) voor de verschillende soorten informatie vastgelegd?
Organisaties beschikken over meer en meer informatie (of eigenlijk gegevens), opslaggeheugen kost nog maar een schijntje van wat het vroeger kostte dus we zijn in staat om meer en meer informatie te bewaren tot het einde der tijden. Toch moeten we ons realiseren dat we niet alle informatie onbeperkt moeten willen bewaren en dat er aan de andere kant eisen zijn voor het bewaren van delen van de informatie.
Zo gelden er voor financiële gegevens bijvoorbeeld minimale bewaartermijnen (bijvoorbeeld vanuit de belastingdienst) terwijl er voor het bewaren van privacygevoelige gegevens eerder maximale bewaartermijnen bestaan (bijvoorbeeld vanuit de Wet Bescherming Persoonsgegevens). Op beide aspecten zie je het in de praktijk nog wel eens verkeerd gaan.
De informatie die we moeten bewaren wordt te kort bewaard, de informatie die we juist niet mogen bewaren wordt te lang bewaard. We zullen dus eerst moeten achterhalen welke bewaartermijnen voor welke delen van de informatie gelden (en dat is vaak makkelijker gezegd dan gedaan omdat regelgeving ook nog eens tegenstrijdig kan zijn, hoe gaan we bijvoorbeeld om met privacygevoelige financiële gegevens?). Hebben we die termijnen bepaald dan moeten we er ook nog voor zorgen dat deze daadwerkelijk gehaald worden.
We zullen dus voor voldoende opslag moeten zorgen voor die gegevens die we langer moeten bewaren en moeten er voor zorgen dat informatie die slechts kort bewaard mag worden zichzelf vernietigd na de houdbaarheidsdatum. Op technisch gebied is tegenwoordig veel mogelijk en we kunnen grote delen daarvan automatiseren. Een hele geruststelling. “Storage” is een heel vakgebied tegenwoordig en een goede leverancier zal je graag helpen bij de technische inrichting, de werking kan zo beter gegarandeerd worden.
De keuzes die we moeten maken en de wet- en regelgeving die op ons van toepassing is, kun je echter niet zomaar bij je leverancier neerleggen. Waarschijnlijk kan hij je daar wel over adviseren, maar de knoop doorhakken moeten we toch echt zelf doen, zeker voor die delen waarvoor geen wettelijke eisen zijn.
Google maar eens op bewaartermijnen, genoeg informatie te vinden en ook daar wordt al snel onderscheid gemaakt in administratieve gegevens en persoonsgevoelige gegevens waar we vanuit wetgeving iets mee moeten. Voor de andere gegevens, waar geen regels voor gelden, moeten we zelf bepalen hoe lang we die willen bewaren. De kunst daarbij is om het optimum te vinden tussen de bewaartermijn enerzijds en de kosten voor opslag anderzijds.
Bewaartermijnen en opslag van dergelijke gegevens. Een vakgebied op zich waar zeker beveiligingsaspecten aanzitten. Daarnaast willen we natuurlijk de informatie ook nog overzichtelijk houden voor onze medewerkers want als die eenmaal gaan werken met verouderde gegevens dan kan ons dat in grote verlegenheid brengen. Bewaren we de informatie onrechtmatig (te kort of te lang) dan moeten we maar snel schakelen met de juridische afdeling, we willen geen claims aan onze broek, toch?