DPIA en archiefvernietiging: hoort vernietiging in een DPIA?
Een Data Protection Impact Assessment (DPIA) klinkt zwaar, maar is in essentie een gestructureerde risico-analyse voor verwerkingen met hoog risico. Vernietiging zelf is doorgaans niet de aanleiding voor een DPIA, maar de eerdere fase, het bewaren, kan het wel zijn. En zelfs als geen formele DPIA verplicht is, zijn de DPIA-vragen een goed denkraam voor archief- en vernietigingsbeleid. Dit artikel laat zien wanneer wat verplicht is en hoe je het zinvol kunt invullen.
Wanneer is een DPIA verplicht?
AVG artikel 35 vraagt een DPIA bij verwerkingen met ‘waarschijnlijk hoog risico voor rechten en vrijheden van betrokkenen'. De Autoriteit Persoonsgegevens publiceerde een lijst van verplichte categorieen, waaronder:
- Grootschalige verwerking van bijzondere persoonsgegevens.
- Systematische monitoring (camera, locatie, gedrag).
- Profilering met juridische gevolgen.
- Verwerking van gegevens van kwetsbare groepen (kinderen, patienten).
- Gebruik van nieuwe technologieen met onbekende risico's.
Een gemiddelde MKB-organisatie die klantadministratie bewaart en uiteindelijk vernietigt heeft geen DPIA-plicht. Een ziekenhuis dat 10.000 patientendossiers archiveert wel.
Waar raakt vernietiging de DPIA?
Vernietiging zelf is een risico-mitigerende stap, geen risico-verhogende. De DPIA-relevantie komt op drie plekken in beeld:
- Bewaarduur en archiefopslag. Hoe langer je bewaart, hoe groter het cumulatieve risico. De DPIA toetst expliciet of de bewaartermijn proportioneel is.
- Beveiliging van archief. Toegangscontrole, ruimtebeveiliging, chain of custody. Dit valt onder ‘technische en organisatorische maatregelen'.
- Vernietigingsmethode en -bewijs. Welke DIN-classificatie, welke leverancier, welk certificaat. Dit toon je als sluitende afsluiting van de levensduur.
Sjabloon: vernietiging in DPIA-formulier
De meeste DPIA-formulieren hebben een sectie ‘levensduur en verwijdering'. Vul daar minimaal in:
| Veld | Voorbeeldwaarde |
|---|---|
| Bewaartermijn | 5 jaar na einde behandelrelatie |
| Wettelijke grondslag termijn | WGBO art. 7:454 BW (medische dossiers tot 20 jaar; 5 jaar voor afgesloten zaken) |
| Trigger | Datum laatste consult of ondertekening dossierafsluiting |
| Vernietigingsmethode | Mobiele papier-shredder DIN P-5; HDD's op DIN H-5 |
| Leverancier | DeSnipperaar (verwerkersovereenkomst aanwezig) |
| Certificaat-bewaring | 5 jaar in compliance-archief |
| Risico-restant na vernietiging | Verwaarloosbaar; reconstructie wiskundig onhaalbaar |
Risico-analyse: drie scenario's
Scenario 1: Verlies in de archiefkast (intern)
- Waarschijnlijkheid: laag (afgesloten kast, beperkte toegang).
- Ernst: middel (afhankelijk van inhoud).
- Maatregel: logboek toegang, jaarlijkse audit.
Scenario 2: Verlies tijdens transport naar shredder
- Waarschijnlijkheid: laag bij mobiele vernietiging (geen externe transportstap), hoger bij offsite.
- Ernst: middel-hoog (bulk in één keer kwijt).
- Maatregel: kies mobiele vernietiging, lees mobiele versus offsite shredding.
Scenario 3: Onvoldoende fineness vernietiging
- Waarschijnlijkheid: laag bij DIN P-5, vrijwel nul bij P-6.
- Ernst: laag-middel (reconstructie kost veel inspanning).
- Maatregel: kies passend DIN-niveau, eis vermelding op certificaat.
De DPIA is geen invuloefening; het is een denkraam dat dwingt tot eerlijk benoemen van risico's en bijbehorende maatregelen.
Mitigerende maatregelen: een lijst
- Bewaartermijnen vastgelegd en geautomatiseerd in archiefsysteem.
- Toegangscontrole op archiefkast (sleutel, log).
- Verwerkersovereenkomst met vernietigingsleverancier (lees de checklist).
- Mobiele vernietiging op locatie voor kortste keten.
- DIN P-5 standaard, P-6 voor bijzondere persoonsgegevens.
- Certificaat met datum, methode en classificatie.
- Certificaat 5 jaar bewaard.
Bredere context: vernietiging is risico-reducerend
Een DPIA-team kan in de verleiding komen om vernietiging als ‘risico-introducerend' te framen (transportbewegingen, leverancier-toegang). Dat klopt op het niveau van ‘extra ketenstap', maar is misleidend op het niveau van het cumulatieve risico over de levensduur. Een dossier dat 30 jaar in een archiefkast ligt heeft een veel hogere kans op verlies dan een dossier dat na 5 jaar netjes vernietigd wordt. De DPIA hoort dit cumulatieve effect te erkennen.
Voor sectoren met regelmatige DPIA-plicht
Sectoren waarin DPIA gangbaar is hebben specifieke punten:
- Zorg: WGBO 20 jaar standaard; lees WGBO en patientendossiers.
- Onderwijs: leerlingdossiers; lees scholen leerlingdossiers.
- HR/recruitment: kandidaatdossiers; lees kandidaatdossiers.
- Financieel: Wft- en MiFID-dossiers; lees MiFID II archief.
Wanneer is een DPIA niet verplicht maar nuttig?
- Bij verhuizing of fusie: cumulatieve verwerking van archieven.
- Bij overstap naar nieuwe vernietigingsleverancier: keten-impact.
- Bij introductie van nieuwe drager-types (bv. cloud-back-ups die ook fysiek bestaan).
- Bij grote eenmalige opruimactie: tijdelijk verhoogd risico tijdens uitvoering.
Vernietigingsbewijs voor je DPIA-dossier.
Wij leveren standaard een verwerkersovereenkomst plus certificaat per opdracht. Direct in je DPIA-bijlage te plakken.
Vraag een offerte aanWerk je aan een DPIA? Mail ons via desnipperaar.nl; we delen graag een sjabloon-rij voor de vernietigingssectie.