Voor zowel fysieke als voor digitale bestanden gelden dezelfde regels als het gaat om de bewaartermijn. Voor heel veel documenten geldt een wettelijke bewaartermijn. Vaak is dit 5 á 7 jaar nadat de relatie is verbroken. Wettelijke bewaartermijnen staan beschreven in het document 'Selectielijst Hogescholen' van de Vereniging Hogescholen en staan ook beschreven in het document ‘bewaartermijnen’ [intranet KCen intranet KABK]. Wanneer er geen specifieke wettelijke regels zijn, dan kun je als privacyrichtlijn ‘2 jaar na beëindiging van de relatie’ gebruiken of zoveel korter als mogelijk. Let op: dit geldt ook voor bestanden die in mailtjes zitten, zoals CV’s, Resultaat & Ontwikkeling formulieren, etc.

Persoonsgegevens bekijk, gebruik en sla je zo veel mogelijk op in de applicaties waar die gegevens te vinden zijn, zoals ADP of Osiris. Alleen als er geen applicatie beschikbaar is, kun je het in een ander bestand opslaan, zoals in een Excel- of Wordbestand. Neem niet meer gegevens op dan strikt noodzakelijk voor het doel. Let bij opslaan en delen in Excel ook op de verborgen kolommen en tabbladen. Gebruik zo veel mogelijk een pdf-bestand bij het delen van informatie.

Opslaglocatie
Deze documenten mag je alleen opslaan op plekken die de HdK daarvoor heeft georganiseerd. Dat zijn de groepsnetwerkschijven. Hierin zitten mapjes waartoe alleen bepaalde medewerkers gemachtigd zijn. Sla het document in een passende onderliggende map op. Welke map dit precies moet zijn en wie er een machtiging mag hebben, bepaalt je afdeling.

Het wordt afgeraden om documenten met persoonsgegevens op te slaan in:

  • De schijven van je laptop of computer
  • Google Drive, Dropbox of andere clouddiensten
  • Een usb-stick of externe harde schijf
  • Je persoonlijke computer, laptop of smartphone. Indien dat niet voorkomen kan worden, zorg er dan voor dat je apparaat met gebruikersnaam en wachtwoord beveiligd is, of overleg met afdeling ICT over alternatieve oplossingen.

Is de bewaartermijn van persoonsgegevens verstreken of zijn de gegevens niet meer noodzakelijk voor het doel? Dan moeten de gegevens vernietigd worden. Denk bijvoorbeeld aan gegevens over loonbeslag als het loonbeslag is opgeheven. Vernietiging moet gebeuren onder controle van de HdK. Vernietigen houdt in dat de gegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm. De AVG stelt geen extra vereisten aan het vernietigen van persoonsgegevens.

In de centrale applicaties als Osiris en ADP kan dit automatisch worden ingesteld. Voor de persoonlijke of gedeelde schijven of e-mail is dat lastiger. Controleer eens per jaar of er documenten zijn met ‘verlopen’ persoonsgegevens die kunnen worden verwijderd.

De bewaartermijnen die gelden binnen de HdK staan vermeld in dit document:
[intranet KC en intranet KABK]