Retentie- en exportbeleid
Concrete bewaartermijnen, export-opties en hoe wij omgaan met verwijderverzoeken.
1. Uitgangspunt
Wij bewaren persoonsgegevens niet langer dan nodig. Bewaartermijnen zijn afgestemd op het doel van de verwerking, de praktijk in de zorg, en waar van toepassing op wettelijke verplichtingen.
2. Concrete termijnen
| Gegevens | Bewaartermijn | Waarom |
|---|---|---|
| Chatberichten | 30 dagen na verzending | Gericht communicatie-gebruik, geen archief. Dagelijkse cron ruimt op. |
| Detail-locatiehistorie | 90 dagen | Ruim genoeg voor ritrapportage en terugzoeken; daarna geaggregeerd. |
| Geaggregeerde ritten | 12 maanden | Voor managementrapportage en facturatie. |
| Stale trackers / apparaten | 24 uur na laatste ping | Opgeruimd om dashboards schoon te houden. |
| Accountgegevens | Tot opzegging + 90 dagen grace period | Heractivatie mogelijk; daarna onomkeerbaar verwijderd. |
| Pending registraties (niet geverifieerd) | Max. 48 uur | Hourly cron verwijdert ze. |
| Audit- & securitylogs | 24 maanden | Voor forensisch onderzoek bij incidenten. |
| Back-ups | 30 dagen rolling | Voor disaster recovery. |
| Facturen & boekhouding | 7 jaar | Wettelijke fiscale bewaarplicht (art. 52 AWR). |
3. Export
Beheerders kunnen op elk moment de belangrijkste datasets exporteren vanuit het beheerdersportaal (CSV/Excel). Bij beëindiging van het abonnement stellen wij de data nog 30 dagen beschikbaar voor volledige export. Daarna wordt de data verwijderd behoudens de wettelijke bewaartermijnen hierboven.
4. Verwijderverzoeken
Een verzoek tot verwijdering (art. 17 AVG) handelen wij binnen 30 kalenderdagen af. Bij bovenmatige of repetitieve verzoeken mogen wij een redelijke administratieve vergoeding vragen of het verzoek weigeren conform art. 12(5) AVG. Gegevens die onder een wettelijke bewaarplicht vallen (zoals facturen) worden niet eerder verwijderd dan het verstrijken van die plicht.
5. Na wissing
Persoonsgegevens worden bij wissing uit de live database verwijderd én uit de volgende back-up-rotatiecyclus. Reservekopieën ouder dan 30 dagen zijn daarna niet meer aanwezig. Logs die persoonsgegevens bevatten worden bij doorrollen van de retentiebucket (zie tabel hierboven) definitief verwijderd.