AVG-eisen voor documentvernietiging: wat moet een MKB-bedrijf écht regelen?
Elk MKB-bedrijf zit op dozen papier: salarisstrookjes, sollicitatiemappen, klantcontracten, kopieën van identiteitsbewijzen, boekhouding. Wie serieus privacy wil regelen ontdekt al snel dat de AVG veel zegt over verwerken en bewaren, maar nauwelijks concreet over vernietigen. Toch gaat het juist bij die laatste stap zo vaak mis. Een container met ‘oud papier’ die bij de kringloop belandt, of een oude laptop die via Marktplaats nog even een tweede leven krijgt: dat zijn de datalekken waar de Autoriteit Persoonsgegevens boetes voor uitdeelt.
Deze gids loopt in klare taal langs de AVG-verplichtingen voor documentvernietiging, specifiek voor ondernemers zonder privacyjurist in dienst. Geen wetteksten doorspitten, maar een checklist waarmee je morgen aan de slag kunt.
Wat zegt de AVG eigenlijk over vernietigen?
De AVG noemt vernietiging twee keer expliciet relevant:
- Artikel 5 (opslagbeperking). Persoonsgegevens mogen niet langer bewaard worden dan nodig voor het doel waarvoor ze zijn verzameld.
- Artikel 17 (recht op vergetelheid). Een betrokkene kan verzoeken om verwijdering van zijn of haar gegevens, en je moet hier binnen een maand aan voldoen.
Daarnaast vereist artikel 32 "passende technische en organisatorische maatregelen" om persoonsgegevens te beschermen. Die verplichting eindigt niet bij de prullenbak. Pas als het document fysiek onleesbaar is, eindigt je zorgplicht.
De boete voor een datalek door slechte vernietiging is niet kleiner dan die voor een lek uit je database. De Autoriteit Persoonsgegevens maakt geen onderscheid tussen papier en bits.
Bewaartermijnen: wanneer mag iets weg?
Niets wordt zo vaak verkeerd gedaan als bewaartermijnen. De meest voorkomende in het MKB:
- Fiscale administratie: 7 jaar (Algemene wet inzake rijksbelastingen, art. 52).
- Onroerend goed: 9 jaar (btw-herzieningstermijn).
- Loonadministratie: 5 jaar na uitdiensttreding.
- Sollicitatiegegevens: 4 weken na afwijzing, of 6 maanden met toestemming van de kandidaat.
- Kopieën identiteitsbewijzen: 5 jaar na einde dienstverband (Wet op de loonbelasting).
- Klantcorrespondentie zonder fiscaal belang: ‘zolang nodig’, in de praktijk 2 tot 3 jaar na het laatste contact.
- Medische gegevens: 20 jaar (WGBO, voor zorgverleners).
Zodra een termijn afloopt is bewaren niet meer ‘mag’. Het dossier moet weg. Er bestaat geen grijs gebied waarin je denkt ‘ik bewaar nog even, voor de zekerheid’. Dat is een AVG-overtreding.
Zelf vernietigen of uitbesteden?
Voor kleine volumes van enkele tientallen mappen per jaar voldoet een goede kantoorversnipperaar, mits die minimaal snijgrootte P-5 volgens DIN 66399 haalt. Belangrijke kanttekening: je moet documenteren wie, wanneer en wat vernietigd heeft. Zonder logboek ontbreekt het bewijs.
Zodra volumes groeien of er gevoelige categorieën tussen zitten (identiteitsbewijzen, medische gegevens, financiële dossiers) wordt uitbesteden doorgaans veiliger en goedkoper. Bij een externe partij moet je wel op drie zaken letten:
1. Vernietiging op locatie of in een beveiligde stroom
De veiligste optie is mobiele documentvernietiging, waarbij de shredderwagen op je parkeerplaats staat en je zelf meekijkt. Niets verlaat je pand intact. Een alternatief is containertransport in een verzegelde container. Vraag dan om zegelnummers op het vernietigingscertificaat.
2. Norm en shreddergrootte
Vraag naar DIN 66399 beveiligingsniveau P-5. Voor datadragers geldt hetzelfde schema (H en E reeksen) of als alternatief NIST 800-88 voor de IT-kant.
3. Certificaat van Vernietiging
Na elke opdracht hoort een certificaat waarop staat: datum, aantal eenheden (kilo’s of containers), toegepaste norm, methode, locatie van vernietiging, en een uniek opdrachtnummer. Dit document is je bewijs richting de AP als er ooit gevraagd wordt hoe je met archieven omgaat.
De verwerkersovereenkomst: vaak vergeten, altijd verplicht
Zodra je persoonsgegevens laat verwerken door een derde, moet er een verwerkersovereenkomst liggen. Bij uitbestede vernietiging is dat het geval, want tot het moment van versnippering zijn de gegevens nog leesbaar. AVG artikel 28 schrijft voor wat erin staat:
- Onderwerp, duur, aard en doel van de verwerking
- Soorten persoonsgegevens en categorieën betrokkenen
- Verplichting tot geheimhouding van personeel
- Beveiligingsmaatregelen
- Afspraken over datalekmeldingen
- Recht tot audit / inspectie
- Wat er met gegevens gebeurt na afloop
Een goede vernietigingspartij heeft een standaard verwerkersovereenkomst klaarliggen. Vraag erom voordat de eerste opdracht wordt uitgevoerd, niet erna. Zonder ondertekende overeenkomst ben je zelf in overtreding, niet de verwerker.
Datadragers: geen uitzondering
Harde schijven, SSD’s, usb-sticks, oude telefoons en backup-tapes bevatten meestal méér persoonsgegevens dan de papieren kant van het archief. Software-wissen (via DBAN of vergelijkbaar) is vaak niet genoeg. Moderne SSD’s houden data vast in reservecellen die het besturingssysteem niet ziet. Voor bijzondere categorieën, of als de drager niet betrouwbaar te wissen is, schrijft NIST 800-88 ‘destroy’ voor: fysieke vernietiging via versnipperen, desintegreren of smelten.
Certificaat bij elke opdracht. AVG-conform vanaf de parkeerplaats.
DeSnipperaar rijdt voor, u kijkt mee. Papier, schijven, SSD’s, telefoons en tapes worden vernietigd op uw locatie, met een compleet vernietigingscertificaat. Binnen 24 uur inzetbaar in heel Nederland.
Vraag een offerte aanChecklist voor morgen
- Inventariseer welke archieven je hebt (papier én digitaal) en koppel er bewaartermijnen aan.
- Zet jaarlijks een vernietigingsmoment in de agenda, bij voorkeur na je jaarafsluiting.
- Kies per categorie: zelf doen (tot ca. 50 mappen / jaar) of uitbesteden.
- Teken een verwerkersovereenkomst met je vernietigingspartij.
- Vraag altijd een certificaat en bewaar dit minimaal 5 jaar in je AVG-dossier.
- Leg in je privacyverklaring uit hoe je met vernietiging omgaat. Transparantie is zelf een AVG-eis.
De AVG is geen zwaard boven je hoofd. Het is een kader waarmee je laat zien dat je je zaken op orde hebt. Vernietiging is daarvan het laatste, zichtbare bewijs.
Vragen over je eigen archiefsituatie? Bel ons of vraag een offerte aan via desnipperaar.nl. We denken gratis mee over bewaartermijnen, volume en verwerkersovereenkomst.