De AVG schrijft geen concrete bewaartermijnen voor; op basis van de AVG mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk, tenzij in een specifieke wet wel een bewaartermijn is bepaald.
Zie hierover nader in 2.3.5.
In de Wgbo is een bewaartermijn bepaald voor gegevens die onderdeel uitmaken van het dossier van een cliënt. Deze gegevens moeten twintig jaar na de laatste wijziging in het dossier bewaard worden.
Per 1-1-2020 is de bewaartermijn voor medische dossiers verlengd van vijftien naar twintig jaar en begint die tevens pas te lopen vanaf het moment waarop de laatste wijziging in het dossier plaats vindt en niet zoals voorheen vanaf het moment dat elk afzonderlijk gegeven in het dossier werd vervaardigd. De bewaartermijn van twintig jaar geldt direct vanaf de inwerkingtreding van de wijziging van de Wgbo, dus per 1-1-2020. Dit houdt in dat dossiers waarin de laatste wijziging op 1-1-2020 korter dan 20 jaar geleden is, bewaard moeten blijven tot de termijn van twintig jaar verstrijkt. Indien op basis van de oude bewaartermijn reeds gegevens waren vernietigd die conform de nieuwe bewaartermijn bewaard zouden moeten blijven, kan de individuele zorgverlener of zorgaanbieder daarop niet worden aangesproken. Dit volgt uit Kamerstukken II 2017/18, 34994, nr. 3, p. 8 (MvT).
Indien het om een dossier van een cliënt in een instelling gaat, begint de bewaartermijn pas te lopen na de laatste wijziging in het gehele dossier van de cliënt. Zolang de bewaartermijn ten aanzien van een (of meer) subdossiers nog loopt worden alle subdossiers van specialismen dus nog bewaard.
Na afloop van de bewaartermijn van twintig jaar dient het dossier in beginsel te worden vernietigd. Voor sommige onderdelen van het dossier kan echter een langere bewaartermijn van toepassing zijn. Hiervan kan sprake zijn in twee gevallen:
Indien dit wettelijk is bepaald;
Indien dit redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.
Voorbeelden van de eerste uitzondering zijn het Arbeidsomstandighedenbesluit of de Archiefwet.
Basisselectiedocument openbare en bijzondere academische ziekenhuizen 1985 dat is opgesteld op grond van art. 5 lid 2, sub b Archiefwet.
Op grond van de Archiefwet moeten universitair medische centra bepaalde documenten over een patiënt langer dan twintig jaar bewaren. Het gaat dan om documenten zoals de ontslagbrief, het operatieverslag, het anesthesieverslag, het PA-verslag, het verslag van de spoedeisende hulp en documenten die gegevens over calamiteiten bevatten. Deze documenten moeten 115 jaar bewaard worden, gerekend vanaf de geboortedatum van de betreffende patiënt.
Voorbeelden van gegevens waarop een langere bewaartermijn van toepassing is die voortvloeit uit de zorg van een goed hulpverlener zijn gegevens over erfelijkheidsonderzoek, gegevens van cliënten met een implantaat of gegevens van genezen kankercliënten.
Advies Bewaartermijn patiëntengegevens, Gezondheidsraad, 1 april 2004.
Ten aanzien van minderjarige cliënten is op grond van de zorg van een goed hulpverlener algemeen aanvaard dat de bewaartermijn van twintig jaar pas begint te lopen als de cliënt de leeftijd van 18 jaar heeft bereikt.
KNMG-richtlijn Omgaan met medische gegevens, Utrecht, 2021, p. 36.
De cliënt kan de zorgverlener ook vragen om de gegevens langer te bewaren dan de wettelijke termijn; in beginsel dient hieraan gehoor te worden gegeven. Dossierinformatie kan ook langer dan twintig jaar worden bewaard als de informatie anoniem gemaakt wordt door alle direct en indirect herleidbare persoonsgegevens zoals NAW-gegevens, BSN, geboortedatum en cliëntennummer uit het dossier te verwijderen. In de praktijk is dit echter een lastige opgave.
Tip
Het verdient aanbeveling landelijk binnen de wetenschappelijke beroepsverenigingen afspraken te maken voor welke gegevens zo’n langere bewaartermijn is aangewezen en hoe lang die bewaartermijn dan zou moeten zijn. Primair ten behoeve van cliënten, om te voorkomen dat er willekeur ontstaat en gegevens of te kort bewaard worden, als geen acht geslagen wordt op deze verplichting, of gegevens te lang bewaard blijven met een beroep op deze verplichting. In de tweede plaats vanwege juridische risico’s die hieruit voor de zorgaanbieder kunnen voortvloeien. Tevens kan dan een eenduidig verzoek worden neergelegd bij leveranciers van ECD’s om zorgaanbieders hierin te faciliteren.
De beslissing om een dossier te vernietigen na afloop van de bewaartermijn is een gezamenlijke verantwoordelijkheid van zorgaanbieder en betrokken zorgverlener(s). Vernietiging van het dossier kan op grond van de Wgbo alleen plaatsvinden met instemming van die zorgverlener(s). Zorgaanbieders hebben geen zelfstandige bevoegdheid om na afloop van de termijn op eigen gezag tot vernietiging over te gaan.
Kamerstukken II, 2001/02, 28 000 XVI, nr. 14, p. 15.
Binnen zorginstellingen is vaak de hoofdbehandelaar aangewezen om te beslissen over de vernietiging. Op grond van de AVG rust ook een verantwoordelijkheid op de zorgaanbieder zelf, als verwerkingsverantwoordelijke.
De Wabvpz
Art. 15j Wabvpz.
bepaalt dat bij algemene maatregel van bestuur regels kunnen worden gesteld over de functionele, technische en organisatorische maatregelen voor het beheer, de beveiliging en het gebruik van het ECD.
Ten aanzien van inzage in en mutaties van het dossier door medewerkers van de zorgaanbieder – de logging – geldt een afzonderlijke bewaartermijn. Hierop wordt nader ingegaan in 3.5.1.
In 3.4.6 zagen we dat binnen de zorg ook gegevensbestanden worden aangelegd voor andere doelen dan zorgverlening. Gegevensverwerking voor doelen als personeelsadministratie en inkoop door de zorgaanbieder laten we in het bestek van dit boek buiten beschouwing. Ten aanzien van gegevens die worden verwerkt in het kader van procedures die direct betrekking hebben op de kwaliteit van de zorgverlening, zoals klachtafwikkeling en het onderzoeken van incidenten, stippen we hier kort aan dat er voor de specifieke wetten zoals de Wkkgz, Wgbo, Wet BIG en het BW geen bewaartermijnen zijn vastgelegd. Dat biedt ruimte voor het opstellen van eigen (sectoraal) beleid. Vanwege het beginsel van opslagbeperking van de AVG zal de verwerkingsverantwoordelijke termijnen vast moeten stellen voor het vernietigen van de persoonsgegevens of de periodieke toetsing ervan.
Overweging 39 AVG.
Het langer bewaren van de persoonsgegevens dan de daarvoor gestelde termijn kan alleen indien dat met toestemming van de betrokkene (cliënt) gebeurt, vanwege wetenschappelijk onderzoek of statistische doeleinden, of wanneer er sprake is van een gerechtvaardigd belang. Doet geen van deze uitzonderingen zich voor, dan zullen de persoonsgegevens geanonimiseerd of vernietigd moeten worden, waarbij geldt dat anonimisering een zelfstandige verwerking is die aan de eisen van de AVG zal dienen te voldoen.
