Wanneer bewaren en verwijderen van toepassing is en wat nu te doen

Bewaren en verwijderen is van toepassing wanneer een SaaS-team persoonsgegevens verzamelt, opslaat, kopieert, exporteert, analyseert, archiveert of verwijdert. Het beperkt zich niet tot formele verwijderverzoeken. Het speelt ook bij churn, gesloten tickets, offboarding, integraties, productlogs en backupcycli.

Onder de GDPR moeten persoonsgegevens zo kort mogelijk worden bewaard voor het doel, met termijnen voor verwijdering of review. Operationeel betekent dit: welke systemen vallen binnen scope, wie beslist, welke actie gebeurt, welke uitzondering geldt en welk bewijs toont uitvoering?

Wanneer het geldt

Het begint zodra een workflow persoonsgegevens maakt of ontvangt en loopt door tot verwijdering, anonimisering, beperking, gerechtvaardigd archief of gedocumenteerde expiry. Onboarding, features, vendors, accountsluiting, tickets, geschillen, legal holds, klantdiligence, exports en backups zijn controlepunten.

Wanneer de reactie verschilt

Niet alle data vraagt dezelfde actie. Sommige data wordt snel verwijderd, andere geanonimiseerd, andere bewaard voor belasting, fraude, security, contract of claims, en sommige tot backup expiry. Beslis per datacategorie en systeem.

Stap 1: identificeer data en doel

Begin bij de categorie: accountdata, authenticatie, productevents, support, billing, security logs, kandidaten, vendors en rapporten kunnen verschillende doelen hebben. Vraag welk doel verwerking rechtvaardigt, welke systemen data bevatten en of minder of anonieme data genoeg is.

Stap 2: definieer de trigger

Een termijn werkt alleen met een start event. Denk aan contractbeindiging, workspace closure, final invoice, ticket closure, applicant rejection, offboarding, incident closure, legal hold release, vendor termination of backup rotation. De trigger moet voor elk team dezelfde datum geven.

Stap 3: kies de actie

Acties zijn hard deletion, scheduled purge, anonimisering, restriction, archive, suppression record, vendor deletion, backup expiry of retention onder gedocumenteerde uitzondering. Klantbeloftes moeten passen bij technische realiteit.

Stap 4: wijs owners toe

Definieer owners voor regel, systeem of vendor, triggerdetectie, actie, uitzonderingsgoedkeuring, communicatie en bewijs. Het model mag licht zijn, zolang het duidelijk is voor audit, klantreview of launch.

Stap 5: bewaar bewijs

Bewijs kan regel, systeemmap, request, approval, deletion log, anonimisering, vendor confirmation, backup note en completion date omvatten. Beleid toont intentie; bewijs toont uitvoering.

Wat nu te doen

Kies een workflow met echte druk: accountsluiting, verwijderverzoek, supporttickets, kandidaten of vendor offboarding. Lijst data en systemen, schrijf de trigger, definieer actie en uitzonderingen, wijs owners toe, test een voorbeeld en bewaar bewijs. Herhaal daarna.

FAQ

Wat is het praktische doel?

Persoonsgegevens alleen bewaren met gerechtvaardigd doel of verplichting, en daarna verwijderen, anonimiseren, beperken, archiveren of reviewen via een gecontroleerde workflow.

Wanneer geldt het voor SaaS-teams?

Bij verzamelen, opslaan, kopieren, exporteren, analyseren, archiveren of verwijderen van persoonsgegevens, inclusief product, support, billing, logs, vendors en backups.

Wat eerst documenteren?

Een risicovolle workflow met datacategorieen, systemen, trigger, owner, actie, uitzonderingen en bewijs.