Bewaartermijnen AVG: gids voor Belgische bedrijven
Steven | TrustYourWebsite · 12 juni 2026 · Laatst bijgewerkt: juni 2026
Belgische bedrijven hebben te maken met een bewaarverplichting op twee niveaus. Artikel 5(1)(e) AVG bepaalt het plafond: bewaar persoonsgegevens niet langer dan nodig voor het doel. Het Belgische fiscale en socialezekerheidsrecht legt verplichte minima op: bepaalde stukken moet u een minimumperiode bewaren, ook als u ze liever eerder zou verwijderen.
Snel antwoord voor België: fiscale stukken 10 jaar (na 2022), jaarrekeningen 10 jaar, DmfA-loonadministratie 5 jaar na het einde van de tewerkstelling, klantaccounts voor de duur van het contract plus de toepasselijke verjaringstermijn, serverlogs 30 tot 90 dagen en GA4-analyticsdata standaard 14 maanden.
Scan uw website gratis om te zien welke externe tools op dit moment persoonsgegevens verzamelen op uw site. Elke tool roept zijn eigen bewaarvraag op.
Het beginsel van opslagbeperking
Artikel 5(1)(e) AVG bepaalt:
Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
Daaruit volgen drie vereisten:
- Een gedefinieerd doel voor elke categorie gegevens die u verzamelt
- Een gedefinieerde bewaartermijn gekoppeld aan dat doel, of de criteria waarmee u die bepaalt
- Daadwerkelijke verwijdering of anonimisering wanneer de termijn verstrijkt, niet alleen een beleid op papier
Langere opslag is alleen toegestaan voor archivering in het algemeen belang of voor wetenschappelijk, historisch of statistisch onderzoek. Beide routes vereisen de waarborgen van artikel 89(1).
Artikel 5(2) AVG voegt het verantwoordingsbeginsel toe: u moet de naleving kunnen aantonen. Dat betekent gedocumenteerde bewaartermijnen in uw verwerkingsregister van artikel 30, een verwijderingsschema dat ook echt wordt uitgevoerd en een logboek dat bewijst dat het schema draait.
De GBA (Gegevensbeschermingsautoriteit) is de Belgische gegevensbeschermingsautoriteit. Ze heeft beslissingen gepubliceerd waarin het bewaren van gegevens na het verstrijken van het doel als een zelfstandige schending van artikel 5 geldt, los van het datalek of de klacht die het onderzoek op gang bracht.
Belgische bewaarverplichtingen
Fiscale stukken: de 10-jaarregel
De wet van 20 november 2022 wijzigde Boek III van het Wetboek van economisch recht (ejustice.just.fgov.be) en actualiseerde de Belgische bewaarplicht voor boekhoudkundige stukken. Voor stukken aangemaakt vanaf 1 januari 2022 bedraagt de minimale bewaartermijn 10 jaar vanaf het einde van het boekjaar. Stukken van vóór 2022 behouden het vroegere minimum van 7 jaar.
Dit geldt voor:
- Facturen (verzonden en ontvangen)
- Bankafschriften en rekeningboeken
- BTW-administratie
- Voorraad- en inventarisgegevens
Artikel 6(1)(c) AVG dekt de rechtsgrond: de bewaring is wettelijk verplicht, wat aan de vereiste van rechtmatigheid voldoet. Na afloop van de 10-jaarperiode geldt de opslagbeperking van de AVG en moeten de gegevens worden verwijderd, tenzij er nog een ander actief doel bestaat.
Sociale zekerheid en loonadministratie
Belgische werkgevers dienen loongegevens in via de DmfA (Multifunctionele aangifte / Déclaration multifonctionnelle) bij de RSZ/ONSS (Rijksdienst voor Sociale Zekerheid / Office national de sécurité sociale). De bewaarplicht voor loon- en bijdragegegevens bedraagt 5 jaar vanaf het einde van de tewerkstelling op grond van het Belgische socialezekerheidsrecht.
Arbeidsovereenkomsten zelf bewaart u voor de duur van de relatie plus de toepasselijke verjaringstermijn. Op grond van artikel 2262bis van het Belgisch Burgerlijk Wetboek bedraagt de algemene verjaringstermijn voor contractuele vorderingen 10 jaar voor commerciële relaties en 5 jaar voor consumentenrelaties. In de praktijk raden de meeste Belgische HR-adviseurs 5 jaar na het einde van de tewerkstelling aan voor standaard personeelsdocumentatie.
Vennootschapsrechtelijke bewaring
Jaarrekeningen en vennootschapsdocumenten vallen onder het Wetboek van vennootschappen en verenigingen (WVV / CSA). De informatie van de FOD Economie (economie.fgov.be) bevestigt een bewaarplicht van 10 jaar voor jaarrekeningen, in lijn met de plicht voor fiscale stukken.
Bewaartermijnentabel voor Belgische KMO's
Deze termijnen combineren Belgisch recht met de vereisten van de AVG. Waar een wettelijk minimum geldt, staat dat minimum vermeld. Waar geen wettelijk minimum bestaat, is de aanbevolen termijn de kortste die het legitieme bedrijfsdoel dient.
Financiële en fiscale gegevens
| Gegevenstype | Bewaartermijn | Basis |
|---|---|---|
| Facturen en boekhoudstukken (na 2021) | 10 jaar vanaf einde boekjaar | Wet van 20 november 2022, Boek III WER |
| Facturen en boekhoudstukken (vóór 2022) | 7 jaar vanaf einde boekjaar | Vroeger Boek III WER |
| Jaarrekeningen | 10 jaar | Wetboek van vennootschappen en verenigingen |
| BTW-administratie | 10 jaar (afgestemd op fiscale stukken) | Wet van 20 november 2022 |
| Bankafschriften | 10 jaar | Afgestemd op fiscale stukken |
HR- en personeelsgegevens
| Gegevenstype | Bewaartermijn | Opmerkingen |
|---|---|---|
| Arbeidsovereenkomsten | Duur tewerkstelling + 5 jaar | Contractuele verjaringstermijn (art. 2262bis Burgerlijk Wetboek) |
| Loon- en DmfA-administratie | 5 jaar na einde tewerkstelling | RSZ/ONSS-socialezekerheidsrecht |
| Ziektebriefjes | Duur van de tewerkstelling. Meteen na gebruik verwijderen. | Gezondheidsgegevens onder art. 9 AVG |
| Sollicitatiegegevens (afgewezen kandidaten) | 4 weken na de afwijzingsbeslissing | Tenzij de kandidaat instemt met langer |
| Tuchtdossiers | Maximaal 2 jaar tenzij een gerechtelijke procedure loopt | GBA-richtsnoeren over proportionaliteit |
| Camerabeelden | Maximaal één maand | Art. 6 §3 / 7 §3 Camerawet van 21 maart 2007. Drie maanden voor aangewezen risicolocaties, langer alleen als bewijsmateriaal |
Klant- en bestelgegevens
| Gegevenstype | Bewaartermijn | Opmerkingen |
|---|---|---|
| Actief klantaccount | Duur van de relatie + 2 jaar | Geschillenbeslechting en garantie |
| Inactief klantaccount | 2 jaar na laatste activiteit | Heractiveren of verwijderen |
| Aankoopgeschiedenis | Afgestemd op factuurbewaring (10 jaar) | Alleen de financiële elementen. Verwijder het marketingprofiel eerder. |
| Klantensupporttickets | 1 jaar na afsluiting | Alleen verlengen als een geschil loopt |
| Garantieclaims | Duur van de garantieperiode | Richtlijn (EU) 2019/771 legt een minimumgarantie van 2 jaar vast |
| Aanvragen via contactformulier | 1 jaar na laatste contact of afhandeling | Korter als er geen blijvende relatie uit volgt |
Marketing- en e-mailgegevens
| Gegevenstype | Bewaartermijn | Opmerkingen |
|---|---|---|
| Nieuwsbriefabonneelijst | Actief abonnement + 2 jaar | Meteen verwijderen bij uitschrijving |
| Bewijzen van marketingtoestemming | 3 jaar na de toestemming | Bewijs van rechtsgrond onder art. 7 AVG |
| Inactieve abonnees (geen engagement) | Nieuwe toestemming vereist na 24 maanden | Verouderde toestemming is een reëel risico |
| E-mails over verlaten winkelmandjes | Maximaal 14 tot 30 dagen | Opvolging beperkt tot dat ene doel |
Voor Belgische directe e-mailmarketing heeft u ofwel voorafgaande toestemming nodig, ofwel een soft opt-in uit een bestaande klantrelatie. In beide gevallen moet het e-mailadres onmiddellijk worden verwijderd bij uitschrijving. De GBA past op e-mailmarketing dezelfde toestemmingsstandaard toe als op cookies.
Website- en analyticsgegevens
| Gegevenstype | Bewaartermijn | Opmerkingen |
|---|---|---|
| Servertoegangslogs (beveiliging) | 30 tot 90 dagen | Langere termijnen kunnen door de GBA worden aangevochten |
| Serverlogs (debugging) | 14 tot 30 dagen | Operationeel minimum |
| IP-adressen in logs | 30 tot 90 dagen, daarna anonimiseren of verwijderen | IP-adressen zijn persoonsgegevens onder de AVG |
| Google Analytics 4 sessiedata | 14 maanden (GA4-standaard) | Controleer deze instelling in uw GA4-beheerpaneel |
| Bewijzen van cookietoestemming | 3 jaar | Bewijs van geldige toestemming bij betwisting |
| Sessieopnames / heatmaps | 30 tot 90 dagen | Doel beperkt tot UX-analyse |
Hoe de twee lagen op elkaar inwerken
De uiteindelijke bewaartermijn voor een gegevenscategorie is het resultaat van twee beperkingen die samen werken.
Het minimum wordt bepaald door Belgisch of Europees recht: facturen moeten 10 jaar worden bewaard. U mag ze niet eerder verwijderen, ook al zou u dat willen. Artikel 6(1)(c) AVG dekt dit: de wettelijke verplichting levert de rechtsgrond.
Het plafond wordt bepaald door artikel 5(1)(e) AVG: zodra de wettelijke verplichting afloopt, moeten de gegevens worden verwijderd, tenzij er een nieuw, actief doel bestaat. De fiscale bewaarplicht geeft geen recht om de surfgeschiedenis of marketingvoorkeuren van de klant even lang te bewaren. Elke gegevenscategorie krijgt haar eigen analyse.
Een veelgemaakte fout is de fiscale bewaartermijn toepassen op alle klantgegevens. De 10-jaarregel dekt facturen en boekhoudstukken. Hij geeft geen recht om het IP-adres, de productvoorkeuren of de winkelmandgeschiedenis van de klant 10 jaar te bewaren.
Bewaartermijnen in de praktijk implementeren
Stap 1: breng uw gegevens in kaart
Maak een lijst van elke categorie persoonsgegevens die uw bedrijf bezit. Neem uw website-analytics, uw CRM, uw e-mailplatform, uw boekhoudsoftware en elke externe dienst die gegevens van uw site ontvangt mee. Elk van die diensten is een verwerker en vereist een verwerkersovereenkomst.
Stap 2: ken elke categorie een bewaartermijn toe
Gebruik de tabel hierboven als startpunt. Voor wettelijk verplichte termijnen hanteert u het wettelijke minimum. Voor al het andere kiest u de kortste termijn die uw bedrijfsbehoefte echt dient.
Voor veelgebruikte tools bij Belgische KMO's:
- WooCommerce / WooCommerce Subscriptions: stel het opschonen van bestelgegevens in onder WooCommerce-instellingen en controleer of de termijn overeenstemt met uw bewaarplicht voor facturen
- Mailchimp / Brevo: schakel het automatisch opschonen van uitschrijflijsten in en stel periodes voor inactieve abonnees in via de lijstinstellingen
- Google Analytics 4: controleer de instelling voor gegevensbewaring in Beheer onder Gegevensinstellingen (standaard 14 maanden)
- Shopify: gebruik de ingebouwde tools voor gegevensexport en verwijderingsverzoeken. Shopify bewaart bestelgegevens standaard 5 jaar, maar u kunt klantrecords op verzoek verwijderen.
Stap 3: documenteer het
Voeg bewaartermijnen toe aan:
- Uw verwerkingsregister van artikel 30
- Uw privacyverklaring (verplicht op grond van artikel 13(2)(a) AVG)
- Uw interne procedures voor gegevensbeheer
Stap 4: automatiseer de verwijdering
Handmatig verwijderen mislukt. Stel automatische verwijdering of anonimisering in bij elke tool die persoonsgegevens bevat. Gebruik voor databases geplande taken die elke tabel doorlopen en de bewaarregel toepassen. Log elke uitvoering met samenvattende aantallen zodat u bewijs van uitvoering heeft.
Stap 5: evalueer jaarlijks
Bewaartermijnen veranderen wanneer uw bedrijf verandert. Bekijk uw gegevenskaart en schema elk jaar opnieuw, of telkens wanneer u een nieuwe tool of dienst toevoegt die persoonsgegevens verwerkt.
Waar de GBA naar kijkt
De GBA onderzoekt bewaringsschendingen zowel in klachtgedreven onderzoeken als in sectoraudits. In de praktijk duiken bewaringsvaststellingen meestal op naast een datalek of een andere klacht, niet als op zichzelf staande audit. Maar als ze opduiken, gelden ze als verzwarende factor.
Terugkerende vaststellingen in de Belgische handhaving:
- Geen gedefinieerde bewaartermijn in het verwerkingsregister (schending van artikel 30)
- Privacyverklaring met "zolang als nodig" zonder concrete termijn (schending van artikel 13)
- Inactieve klantaccounts die jaren na het einde van de relatie bewaard blijven
- Back-upkopieën die lang na de verwijderdatum van de actieve gegevens bewaard blijven
- Fiscale bewaartermijnen uitgebreid naar alle klantgegevens in plaats van alleen boekhoudstukken
Als oude klantgegevens bij een datalek worden blootgesteld en blijkt dat er geen actief doel was om ze te bewaren, beschouwt de GBA dit als een verzwaring van de beveiligingsschending van artikel 32. De gids over AVG-boetes voor kleine bedrijven legt uit hoe de GBA sancties berekent.
Slotchecklist
- Elke verwerkingsactiviteit in uw register heeft een gedefinieerde bewaartermijn
- Fiscale stukken van na 2021 worden 10 jaar bewaard vanaf het einde van het boekjaar
- Loon- en DmfA-gegevens worden 5 jaar na het einde van de tewerkstelling bewaard
- De privacyverklaring vermeldt per activiteit de bewaartermijn of de criteria
- Verwijdering is een gepland proces, geen handmatige taak
- Verwijderingsruns worden gelogd met samenvattende aantallen als bewijs
- De back-uprotatie is afgestemd op het bewaarschema
- Inactieve klantaccounts hebben een inactiviteitsperiode en een verwijdertrigger
- De fiscale bewaarplicht geldt alleen voor boekhoudstukken, niet voor alle klantgegevens
- Jaarlijkse evaluatie van register, privacyverklaring en verwijderingsschema
Veelgestelde vragen
Hoe lang moeten Belgische bedrijven financiële documenten bewaren onder de AVG?
Het Belgische recht verplicht om fiscale stukken die na 1 januari 2022 zijn aangemaakt 10 jaar te bewaren, tegenover de vroegere termijn van 7 jaar. Dit volgt uit de wet van 30 juli 1953 zoals gewijzigd door de wet van 20 november 2022, die Boek III van het Wetboek van economisch recht actualiseerde. Stukken van vóór 2022 blijven onder de 7-jaarregel vallen. Artikel 6(1)(c) AVG staat deze bewaring toe als nakoming van een wettelijke verplichting.
Wat betekent het beginsel van opslagbeperking van de AVG voor mijn Belgische bedrijf?
Artikel 5(1)(e) AVG vereist dat persoonsgegevens worden bewaard in een vorm die identificatie van personen mogelijk maakt, niet langer dan nodig is voor het doel. Voor Belgische KMO's betekent dit dat u voor elk type gegevens dat u verzamelt een bewaartermijn vastlegt, die documenteert in uw verwerkingsregister van artikel 30 en de gegevens daadwerkelijk verwijdert wanneer de termijn verstrijkt. De GBA (Gegevensbeschermingsautoriteit) beschouwt onbeperkte bewaring als een zelfstandige schending van artikel 5.
Moet ik bewaartermijnen opnemen in mijn privacyverklaring?
Ja. Artikel 13(2)(a) en artikel 14(2)(a) AVG verplichten de verwerkingsverantwoordelijke om de bewaartermijn te vermelden of, als dat niet mogelijk is, de criteria om die te bepalen. Alleen "zolang als nodig" vermelden volstaat niet. Belgische bedrijven moeten de werkelijke termijn per gegevenscategorie vermelden, of de criteria toelichten als de termijn niet vooraf kan worden vastgelegd.
Hoe lang moet ik HR- en loongegevens bewaren in België?
Het Belgische socialezekerheidsrecht verplicht werkgevers om loon- en DmfA-bijdragegegevens (Multifunctionele aangifte) 5 jaar te bewaren vanaf het einde van de tewerkstelling. Arbeidsovereenkomsten bewaart u voor de duur van de relatie plus de toepasselijke verjaringstermijn uit het Belgisch Burgerlijk Wetboek (doorgaans 5 jaar voor contractuele vorderingen op grond van artikel 2262bis). Gevoelige gezondheidsgegevens, zoals ziektebriefjes, bewaart u niet langer dan strikt nodig en verwijdert u meteen zodra ze niet meer nodig zijn.
Wat doet de GBA als een bedrijf gegevens te lang bewaart?
De GBA kan corrigerende maatregelen en administratieve boetes opleggen op grond van artikel 83 AVG. De GBA heeft beslissingen gepubliceerd waarin schendingen van de opslagbeperking worden vastgesteld, waaronder gevallen waarin bedrijven gegevens jarenlang na het oorspronkelijke doel bleven bewaren. Bewaringsschendingen komen meestal samen met andere AVG-problemen aan het licht bij een klacht of audit en niet op zichzelf, maar ze worden behandeld als een afzonderlijke, verzwarende vaststelling.
Scan uw website gratis om te controleren of uw privacyverklaring de bewaartermijnen vermeldt zoals artikel 13(2)(a) AVG vereist. De scan signaleert ontbrekende of onvolledige bewaarvermeldingen, naast problemen met cookiebanners, HTTPS en blootstelling aan externe trackers.
Voor een breder overzicht van AVG-naleving in België behandelt de GDPR-checklist voor Belgische KMO's de volledige set verplichtingen rond het bewaarregime. Voor bewaarvragen rond lopende geschillen, gereglementeerde sectoren of conflicten tussen Belgische en Europese verplichtingen raadpleegt u best een advocaat gespecialiseerd in gegevensbescherming.
Bronnen
- Verordening (EU) 2016/679, AVG (eur-lex.europa.eu)
- Belgisch federaal Justitieportaal, wetten en besluiten (ejustice.just.fgov.be)
- GBA, Gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be)
- FOD Economie / SPF Economie (economie.fgov.be)
- EDPB, Richtsnoeren 3/2019 over videoapparatuur (edpb.europa.eu)
Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.
Check je website nu
Scan je website op AVG & Privacy-problemen en 30+ andere checks.
Gratis scan startenWebsite-handleidingen
AI-website en GBA-klacht: wie betaalt in België?
Uw bouwer gebruikte Cursor of Lovable. Werkt de cookiebanner niet? De GBA spreekt u aan, niet OpenAI. Wat verandert er op 9 december 2026?
AVG website-audit: stap-voor-stap voor Belgische ondernemers
Doe in twee uur een volledige AVG-audit van uw Belgische website. GBA-aanpak, TCF-ruling 2022, Belgische bewaartermijnen. Stap voor stap.
AVG-checklist voor Belgische KMO (2026): 35 punten
35 controlepunten voor AVG-naleving op uw Belgische website. GBA-handhaving, wet 30 juli 2018, KBO-nummer en cookiebanner. Bijgewerkt mei 2026.
Cookiebanner België: GBA boetes en regels voor uw website
Wat de GBA vereist voor uw cookiebanner. Dark patterns, Alles weigeren knop, GBA-boetes. De Mediahuis-zaak uitgelegd. Gratis check voor uw website.
Cookiebanner vereisten België: GBA-regels 2026
Wat uw cookiebanner moet bevatten onder art. 10/2 Kaderwet en de GBA-regels. Gelijke knoppen, drietalige tekst, geen dark patterns en een checklist.