Mag ik klantgegevens bewaren "voor het geval dat"?

Nee. De AVG vereist een concreet doel en een bewaartermijn per gegevenstype. "Voor het geval dat" is geen doel. Na afloop van de termijn: verwijderen.

Gaat de fiscale bewaarplicht boven het recht op vergetelheid?

Ja. De fiscale bewaarplicht van 7 jaar is een wettelijke verplichting die boven het verwijderingsrecht gaat. Je mag (en moet) factuurgegevens bewaren, ook als een klant om verwijdering vraagt. Maar: verwijder wel de gegevens die niet fiscaal relevant zijn.

Hoe weet ik wanneer iets verwijderd moet worden?

Stel per gegevenstype een termijn vast en noteer die in je verwerkingsregister. Zet een kwartaalherinnering om op te schonen. De meeste ZZP'ers doen dit nooit, tot het moment dat een klant om verwijdering vraagt.

Moet ik e-mails van oud-klanten verwijderen?

E-mails met fiscaal relevante informatie (facturen, betalingsafspraken): 7 jaar bewaren. Projectcorrespondentie: verwijderen na afloop project + redelijke termijn (1 jaar). Informele e-mails zonder klantgegevens: geen AVG-verplichting maar opschonen is hygiëne.

Moet ik backups ook opschonen als ik gegevens verwijder?

In principe ja. Maar de AP erkent dat het verwijderen uit backups disproportioneel kan zijn als het technisch complex is. Zorg er in dat geval voor dat de gegevens bij een eventuele restore alsnog worden verwijderd. Documenteer dit in je datalekkenregister of verwerkingsregister.

Hoe lang mag ik gegevens bewaren van AI-tool interacties?

Als je persoonsgegevens hebt ingevoerd bij een AI-tool, geldt dezelfde bewaartermijn als voor de oorspronkelijke verwerking. Bij ChatGPT kun je chatgeschiedenis handmatig verwijderen. Bij de meeste API-accounts wordt data standaard niet langer dan 30 dagen bewaard. Check de voorwaarden van je specifieke tool. Stand: maart 2026.

Bewaartermijnen klantgegevens

Ergens op je laptop staat een map met offertes uit 2019. In je CRM staan contactgegevens van klanten die je al drie jaar niet hebt gesproken. Je inbox gaat terug tot het begin der tijden. Onder de AVG is dat een probleem.

De snelle tabel: hoe lang mag wat?

Factuurgegevens (naam, adres, KvK, IBAN): 7 jaar. Fiscale bewaarplicht, Algemene wet inzake rijksbelastingen.
Projectgegevens: duur project + 1 jaar (voor eventuele claims of vragen).
Offertes (niet geaccepteerd): 6 maanden. Geen overeenkomst, geen reden om jaren te bewaren.
Nieuwsbriefgegevens: tot uitschrijving. Daarna verwijderen.
Contactgegevens oud-klanten: zolang je een doorlopende relatie hebt of een gerechtvaardigd belang (max 2 jaar inactief is een gangbare richtlijn). Drie jaar niets gehoord? Opruimen.
Sollicitatiegegevens (als je personeel aanneemt): max 4 weken na afwijzing, tenzij toestemming voor langer (max 1 jaar).
Websiteformulier-gegevens: tot afhandeling van het verzoek + redelijke termijn.
Personeelsgegevens (als je medewerkers hebt): loonbelastingverklaringen en ID-kopie 5 jaar na einde dienstverband. Overige personeelsdossier-gegevens: 2 jaar na einde dienstverband.
Logbestanden met IP-adressen (server logs, analytics): max 6 maanden is gangbaar. Langer alleen met concrete reden (security-analyse).
WhatsApp-gesprekken met klantdata: behandel als e-mail. Projectgerelateerd: verwijder na project + 1 jaar. Chat zonder klantgegevens: geen AVG-issue.

Een concreet voorbeeld: je bent freelance developer. Een klant heeft je ingehuurd voor een website. Het project is afgerond in juni 2025. Je factuurgegevens bewaar je tot juni 2032 (7 jaar fiscaal). Je projectbestanden (briefing, feedback, Figma-files) verwijder je in juni 2026 (1 jaar na afloop). De offerte die niet tot een opdracht leidde van een andere prospect? Die verwijder je in december 2025 (6 maanden).

Noteer deze termijnen in je verwerkingsregister. Dat is het bewijs dat je erover hebt nagedacht.

Weet je niet of je bewaartermijnen op orde zijn? De Privacy Scan checkt het in 2 minuten.

De contra-intuïtieve waarheid: de AVG geeft geen termijnen

De AVG zelf noemt geen concrete bewaartermijnen. Het principe is: "niet langer dan noodzakelijk voor het doel." Dat is bewust vaag. De termijnen hierboven zijn richtlijnen op basis van gangbare praktijk, fiscale wetgeving, en AP-guidance. Het zijn geen harde wettelijke grenzen (behalve de fiscale 7 jaar).

Dat betekent: je moet zelf een termijn bepalen en onderbouwen. "Ik bewaar projectgegevens 1 jaar na afloop omdat er binnen die termijn nog vragen of garantieclaims kunnen komen" is een prima onderbouwing. "Ik bewaar alles voor onbepaalde tijd" is dat niet.

Voor boekhouders en financieel dienstverleners is het complexer: je hebt klantdata van je klanten (naam, adres) maar ook de data van hun klanten (BSN, salarisgegevens, debiteuren). Die tweede laag heeft eigen bewaartermijnen. Salarisgegevens: 7 jaar. Loonbelastingverklaringen: 5 jaar na einde dienstverband. BSN mag je alleen verwerken als de wet het voorschrijft, en niet langer dan noodzakelijk voor dat doel.

De fout die boekhouders het vaakst maken: klantdossiers bewaren na beeindiging van de samenwerking "voor het geval de klant terugkomt." Dat is geen geldige grondslag. Fiscale stukken: 7 jaar. De rest: verwijderen na een redelijke overgangsperiode.

De opschoonroutine die niemand doet

De meeste ZZP'ers verwijderen nooit iets. Dat is de default. En die default is in strijd met de AVG.

De oplossing: een kwartaalopschoonmoment. Een half uur, vier keer per jaar. Januari, april, juli, oktober. Zet het in je agenda.

Wat je doet per kwartaal:

CRM: contacten van klanten die langer dan 2 jaar inactief zijn, archiveer of verwijder
Cloud-mappen: projectbestanden van afgeronde projecten (>1 jaar geleden), verwijder (bewaar facturen)
Inbox: correspondentie zonder fiscale relevantie die ouder is dan de bewaartermijn
Mailinglijst: uitgeschreven adressen verwijderen uit Mailchimp/Brevo
Offertes: niet-geaccepteerde offertes ouder dan 6 maanden, verwijderen

Een half uur per keer. Het voelt als administratie. Het is het ook. Maar het is de administratie die je beschermt op het moment dat een klant om verwijdering vraagt of de AP je verwerkingsregister opvraagt.

Een tip voor developers: git repos van afgelopen klantprojecten bevatten vaak klantconfiguratie, database schemas, en soms credentials in de commit history. Archiveer of verwijder repos van afgesloten projecten. Check of je lokale development-databases met klantdata nog bestaan. En kijk of je Docker volumes van oude projecten nog draaien met productie-achtige data.

Meer over waar je klantgegevens allemaal staan lees je in het artikel over klantgegevens opslaan.

Nooit opgeschoond? Begin hier

De meeste ZZP'ers die dit lezen hebben jarenlang niets verwijderd. Dat is geen ramp, maar het is wel een risico. Hier is het plan om er in een uur doorheen te komen:

Inbox. Zoek op "factuur" en sorteer op datum. Alles ouder dan 7 jaar: verwijderen. E-mails van oud-klanten zonder fiscale relevantie die ouder zijn dan 2 jaar: verwijderen. Nog niet alles meteen, maar dit is het grofste werk.

Cloud-opslag. Google Drive, OneDrive, Dropbox. Zoek mappen van afgeronde projecten. Is het project langer dan een jaar geleden afgerond? Verwijder de projectbestanden (niet de facturen). Bewaar een korte notitie: "Projectbestanden klant X verwijderd per [datum], factuurgegevens bewaard tot [datum+7 jaar]."

Boekhoudpakket. Moneybird, Exact, e-Boekhouden. Klantgegevens van klanten die je al jaren niet hebt gefactureerd: beoordeel of je ze nog nodig hebt. Facturen zelf: 7 jaar bewaren.

CRM en contacten. Contacten die je al 2+ jaar niet hebt gesproken en die geen lopende overeenkomst of fiscale relatie hebben: verwijderen of archiveren.

Telefoon. WhatsApp-groepen van oude projecten. Contacten van eenmalige klanten. Het klinkt gek, maar je telefoon is een van de plekken waar de meeste klantgegevens rondzwerven zonder dat iemand eraan denkt.

Na deze uur: noteer in je verwerkingsregister welke bewaartermijnen je hanteert. Zet de kwartaalherinnering in je agenda. Klaar.

Wat als een klant om verwijdering vraagt?

Een klant mailt: "Verwijder al mijn gegevens." Het recht op vergetelheid (artikel 17 AVG). Wat doe je?

Stap 1: check je bewaartermijnen. Factuurgegevens: niet verwijderen (fiscale bewaarplicht gaat voor). Projectbestanden na het project + 1 jaar: mag je verwijderen. Contactgegevens zonder lopende relatie: verwijderen.

Stap 2: verwijder wat mag. Projectbestanden, correspondentie die niet fiscaal relevant is, contactgegevens uit je CRM en telefoon. Overal: e-mail, cloud, tools, backups (waar haalbaar).

Stap 3: informeer de klant. Binnen een maand reageren (artikel 12 lid 3 AVG). "Ik heb je projectgegevens en contactgegevens verwijderd. Je factuurgegevens bewaar ik nog tot [datum] vanwege de fiscale bewaarplicht van 7 jaar." Dat is een compleet antwoord. Meer hierover lees je in het artikel over klantgegevens opslaan.

De les: als je je bewaartermijnen hebt vastgesteld, is een verwijderingsverzoek in vijf minuten afgehandeld. Als je dat niet hebt gedaan, is het een halve dag zoeken.

De eerlijke inschatting

De AP controleert niet of je offertes uit 2019 hebt verwijderd. Die gaat niet door je Google Drive scrollen. Het echte risico zit elders.

Een verwijderingsverzoek van een klant. Een datalek waarbij je moet documenteren welke gegevens betrokken waren. Een opdrachtgever die je AVG-compliance checkt voordat hij je inhuurt. Op dat moment wil je weten wat je hebt, waar het staat, en waarom je het bewaard hebt.

De contra-intuïtieve les: minder data bewaren maakt je werk makkelijker, niet moeilijker. Minder data = minder risico bij een lek. Minder zoekwerk bij een verwijderingsverzoek. Minder rommel in je systemen. Opschonen is geen AVG-verplichting die je doet omdat het moet. Het is hygiëne die je doet omdat het je leven simpeler maakt.

Je hoeft geen systeem te bouwen. Geen software te kopen. Alleen een tabel met gegevenstype, termijn en verwijderdatum. En vier keer per jaar een half uur. Dat is minder tijd dan je nu kwijt bent aan het zoeken door mappen die je al jaren niet hebt opgeschoond.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.