6 signalen dat uw archief een AVG-risico is geworden
Een archief groeit ongemerkt uit tot een risico. Niet door een acute fout, maar door dozen die blijven staan, dossiers die niemand meer opent en datadragers die rondslingeren. Onder de AVG is dat geen onschuldige rommel, maar een verzameling persoonsgegevens die u niet langer beheerst. Dit zijn zes signalen dat uw archief een AVG-risico is geworden, met per signaal wat het betekent en hoe u het oplost.
Het snelle antwoord. Een archief wordt een risico zodra u het overzicht kwijt bent, geen bewaartermijn hanteert en niet kunt aantonen wat is vernietigd. Herkent u een van de onderstaande signalen, dan is het tijd om in kaart te brengen, een beleid op te stellen en verlopen dossiers vertrouwelijk te laten vernietigen met certificaat.
Signaal 1. U weet niet meer wat er in uw archief staat
Als niemand kan zeggen wat er precies in de dozen en kasten zit, heeft u geen archief maar een blinde vlek. Zonder overzicht kunt u een verzoek om inzage of verwijdering niet beantwoorden, kunt u bij een datalek niet inschatten welke gegevens zijn geraakt en weet u niet wat allang vernietigd had mogen worden. De AVG verwacht juist dat u weet welke persoonsgegevens u verwerkt en waarom. De oplossing begint met een inventarisatie op categorie, gekoppeld aan een verwerkingsregister. Hoe u archief en vernietiging daarin vastlegt zonder onnodige bureaucratie, leest u in het verwerkingsregister voor archief en vernietiging.
Signaal 2. Dozen en mappen stapelen zich op zonder einddatum
Groeit uw archief alleen maar aan en gaat er nooit iets uit, dan mist elke doos een bewaartermijn. De AVG kent een opslagbeperking. Persoonsgegevens bewaart u niet langer dan nodig voor het doel waarvoor u ze verzamelde. Een dossier zonder einddatum is een dossier dat u per definitie te lang bewaart. Ken daarom aan elke categorie een concrete bewaartermijn toe en noteer de vernietigingsdatum op de doos. Wat u per documentsoort mag en moet bewaren, staat overzichtelijk in de AVG-bewaartermijnen cheatsheet. Zo verandert een groeiende stapel in een archief dat zichzelf opschoont.
Signaal 3. Iedereen kan zomaar bij het archief
Staat de archiefkast open, ligt er vertrouwelijk papier op bureaus en kan elke medewerker of bezoeker bij de dossiers, dan is de vertrouwelijkheid niet geborgd. De AVG vraagt om passende beveiliging. Toegangsbeperking is daarvan de eenvoudigste vorm. Beperk de toegang tot wie het nodig heeft, sluit archiefruimtes af en werk met een clean desk zodat er geen gevoelige stukken blijven rondslingeren. Een sluitende aanpak koppelt een clean desk direct aan afgesloten inzamelbakken voor vernietiging. Hoe u dat vastlegt, leest u in clean desk policy en vernietiging.
Signaal 4. Oude datadragers slingeren rond
Een la vol oude usb-sticks, een stapel afgedankte harde schijven, uitgefaseerde telefoons en back-uptapes in een kast. Datadragers bevatten vaak dezelfde persoonsgegevens als het papier, maar krijgen zelden dezelfde aandacht. Ze verdwijnen in een lade in plaats van in een beleid. Wissen is bovendien niet hetzelfde als vernietigen. Een simpele delete of een snelle formattering laat de data vaak terugvindbaar achter. Neem datadragers daarom standaard mee in uw opschoning en laat ze fysiek vernietigen. Waarom wissen tekortschiet en wanneer fysieke vernietiging nodig is, leest u in harde schijf wissen versus vernietigen.
Signaal 5. Niemand is verantwoordelijk voor opschonen
Als u niemand kunt aanwijzen die verantwoordelijk is voor het opruimen, gebeurt het niet. Zonder vernietigingsbeleid en zonder vaste opschoonmomenten blijft het archief groeien tot iemand er toevallig over struikelt. De AVG vraagt niet alleen om de juiste handelingen, maar ook om organisatie eromheen. Leg vast wat u vernietigt, op welk niveau, hoe vaak en wie het aanstuurt. Plan vaste momenten, bijvoorbeeld twee keer per jaar, waarop verlopen dossiers worden vernietigd. Een beknopt beleid van een halve pagina volstaat vaak al. Hoe u dat opstelt, met een voorbeeld, leest u in een vernietigingsbeleid opstellen voor het mkb.
Signaal 6. U kunt niet aantonen wat is vernietigd
Vernietigt u dossiers, maar houdt u daarvan niets bij, dan kunt u achteraf niets bewijzen. De AVG draait om aantoonbaarheid. Zonder bewijs weet u niet wat er wanneer en op welk niveau is vernietigd. Bij een controle of geschil staat u met lege handen. Een certificaat van vernietiging met datum, hoeveelheid en DIN-niveau sluit dat gat. Het is het bewijs richting de toezichthouder dat u zorgvuldig heeft gehandeld. Vraag er altijd om en bewaar het bij uw verwerkingsregister. Wat er precies op een certificaat hoort, staat in certificaat van vernietiging uitgelegd.
Van risico naar controle in 3 stappen
- Breng het in kaart. Inventariseer per categorie wat u bewaart en koppel het aan uw verwerkingsregister.
- Stel een beleid op. Ken bewaartermijnen toe, wijs een verantwoordelijke aan en plan vaste opschoonmomenten.
- Laat vertrouwelijk vernietigen. Verzamel verlopen dossiers en datadragers in afgesloten bakken en vraag een certificaat als bewijs.
Een gestructureerde opschoning begint met een goed stappenplan. Hoe u een vol papierarchief systematisch aanpakt, van inventariseren tot afgesloten ophaling, leest u in archief opruimen stappenplan.
Uw archief veilig laten opschonen?
Geef door wat u heeft en u krijgt een vaste prijs. Wij halen verzegeld op, vernietigen op het juiste DIN-niveau en u ontvangt een certificaat voor uw AVG-dossier. Geen voorrijkosten binnen 20 km van Amsterdam.
Vraag een offerte aanVeelgestelde vragen
Wanneer wordt een archief een AVG-risico?
Zodra u niet meer weet wat er in staat, geen bewaartermijn hanteert en niet kunt aantonen wat is vernietigd. Een archief dat blijft groeien zonder overzicht en zonder opschoning vergroot bij elk datalek de schade, want alles wat u had kunnen opruimen ligt dan op straat.
Hoe weet ik welke dossiers weg mogen?
Toets elke categorie aan de wettelijke bewaartermijn. Voor de administratie geldt de fiscale bewaarplicht van zeven jaar, voor andere stukken korter of langer. Wat de termijn heeft bereikt en geen ander doel meer dient, mag en moet worden vernietigd.
Tellen oude harde schijven en usb-sticks mee?
Ja. Datadragers bevatten vaak dezelfde persoonsgegevens als het papier. Wissen is bovendien niet hetzelfde als vernietigen. Neem harde schijven, usb-sticks, telefoons en back-uptapes standaard mee in uw beleid en laat ze fysiek vernietigen.
Wat is het bewijs dat ik zorgvuldig heb vernietigd?
Een certificaat van vernietiging met datum, hoeveelheid en DIN-niveau. Zonder certificaat kunt u niet aantonen wat er wanneer en op welk niveau is vernietigd. De AVG vraagt om die aantoonbaarheid. Bewaar het certificaat bij uw verwerkingsregister.
Conclusie
De zes signalen hebben een gemene deler. Ze ontstaan waar een archief zichzelf aan het beheer onttrekt, doordat niemand nog weet wat er in staat, hoelang het mag blijven of wie het opruimt. Breng uw archief in kaart, stel een beleid met bewaartermijnen op en laat verlopen dossiers en datadragers vertrouwelijk vernietigen met een certificaat als bewijs. Dan is uw archief geen sluimerend risico meer, maar een beheerst onderdeel van uw AVG-beleid.
Lees ook: 7 fouten bij het vernietigen van bedrijfsdocumenten, een vernietigingsbeleid opstellen voor het mkb, archief opruimen stappenplan en de AVG-bewaartermijnen cheatsheet.
Archief laten ophalen? Vraag een offerte aan via desnipperaar.nl. Binnen een paar minuten heeft u een vaste prijs, inclusief certificaat als bewijs.