E-mailarchief opruimen: van mailbox-quota naar AVG-conform
Een gemiddelde zakelijke mailbox in Nederland bevat na vijf jaar tussen de 50.000 en 250.000 mails, met een opslag van 5-25 GB. Voor het bedrijf is het een schat aan correspondentie en contracten; voor IT is het een quota-probleem; voor compliance is het een AVG-tijdsbom. Dit artikel beschrijft hoe je een opruim van het zakelijke e-mailarchief opzet zonder bedrijfskennis te verliezen of bewaartermijnen te overschrijden.
Drie krachten die om opruim vragen
- Quota. Mailservers met capaciteits-licenties; cloudplatforms met 50/100 GB per gebruiker; storage-kosten in cloud-omgevingen die met aantal mails meelopen.
- AVG-opslagbeperking. Persoonsgegevens van klanten en sollicitanten in mailbody en bijlages. Onder AVG art. 5 mag dit niet langer bewaard dan nodig.
- Snelheid en zoekbaarheid. Een mailarchief van 250.000 berichten is praktisch onbruikbaar voor zoekopdrachten.
Bewaartermijnen voor e-mail
E-mail is geen aparte categorie onder AVG; de bewaartermijn volgt de inhoud:
- Klantcorrespondentie zonder fiscaal belang: 2-3 jaar na laatste contact.
- Contractgerelateerde mails: 7 jaar na einde overeenkomst (fiscaal).
- HR- en sollicitatie-correspondentie: 4 weken (afgewezen kandidaat) tot 7 jaar (na einde dienstverband).
- Klacht-correspondentie: 2 jaar na afhandeling.
- Marketing/nieuwsbrief lijsten: tot uitschrijving plus 30 dagen.
Voor het volledige overzicht, zie de AVG-bewaartermijnen cheatsheet.
Een opruim-strategie in vier stappen
Stap 1: Inventarisatie
- Hoeveel mailboxen, hoeveel totaal volume.
- Hoeveel oudste data (per kwartaal in de oudste 5-7 jaar).
- Aanwezigheid van ex-medewerkers met nog actieve mailboxen.
Stap 2: Beleid vastleggen
- Standaardbewaartermijn per categorie (afgeleid van inhoud).
- Auto-archivering naar PST of journaling-systeem voor categorieen met fiscale termijn.
- Auto-deletion na bewaartermijn voor het overige.
- Procedure voor ‘recht op vergetelheid' verzoeken.
Stap 3: Implementatie
- In Microsoft 365: retention policies via Compliance Center.
- In Google Workspace: Vault retention rules.
- In on-premise Exchange: messaging records management policies.
- Per beleid: scope, categorie, termijn, actie (retain or delete).
Stap 4: Communicatie
- Mail naar medewerkers met datum, beleid en consequenties.
- Persoonlijke uitzondering voor wie aantoont dat oudere mails nog nodig zijn.
- Beslismoment door directie als er twijfel is.
De grootste fout: opruimen zonder beleid. Een spontane ‘laten we mails ouder dan 5 jaar weg gooien' is geen AVG-conform plan, het is een datalek wachtend om te gebeuren.
Wat met ex-medewerkers?
Mailboxen van mensen uit dienst zijn vaak een gat in beleid. AVG-vuistregels:
- Persoonlijke mailbox: niet meer toegankelijk; bewaren beperkt tot wettelijke redenen.
- Bedrijfsmail in zijn naam: 90 dagen forwarden of toegang via licentie-sharing.
- Klantcorrespondentie: archiveren in CRM of gedeeld team-systeem; daarna mailbox opheffen.
- Bewaartermijn voor mailboxopslag na uit dienst: 6 maanden tot 1 jaar; daarna verwijderen.
Lokaal versus cloud-deletion
Een delete in cloud is niet hetzelfde als fysieke vernietiging. Lees ons artikel cloud-data echt verwijderen voor de details. Voor de meeste organisaties geldt: cryptografische erasure in de cloud voldoet voor AVG-doelen, mits de leverancier aantoonbare delete-processen heeft.
Wat wel fysieke vernietiging vraagt: lokale PST-bestanden op USB-sticks of laptops, on-premise back-ups op tape of HDD. Daarvoor:
- USB-sticks met PST: lees USB-sticks afvoeren.
- Backup-tapes: lees backup-tapes en LTO opruimen.
- Oude HDD's met mailarchief: DIN H-4 of H-5.
Auto-archive versus actieve opruim
Twee modellen:
Auto-archive
Mails ouder dan X maanden gaan automatisch naar een ‘archive'-folder, en uiteindelijk naar een coldstorage-systeem. Goed voor mailbox-quota, maar verlengt bewaartermijn-effectief tenzij ook deletion-policy actief is.
Actieve opruim
Per kwartaal of jaar wordt het oudste segment beoordeeld en (per beleidsregel) verwijderd of bewaard. Vergt menselijke betrokkenheid, levert betere AVG-compliance.
De meeste organisaties combineren: auto-archive voor capaciteit, jaarlijkse review voor compliance.
Specifieke aandachtspunten
- Bijlagen met persoonsgegevens. Excel-bestanden met klantlijsten, PDF-contracten met BSN, CV-bijlages van sollicitanten. Inventariseer deze stroom apart.
- Persoonlijke folders en regels. Medewerkers maken eigen mailboxstructuren die soms 10 jaar oud zijn.
- Verzonden items. Ook hier persoonsgegevens. Niet alleen Inbox.
- Gedeelde postvakken. info@, support@, hr@. Eigen retention-beleid.
- OneDrive/SharePoint koppelingen. Bijlages in mails verwijzen vaak naar gedeelde files; voor cloud-deletion zie cloud-data echt verwijderen.
Documentatie
Voor AVG-bewijs heb je nodig:
- Retention policy schriftelijk vastgelegd.
- Implementatiebewijs (screenshots van Compliance Center / Vault).
- Logboek van uitgevoerde deleties (geautomatiseerd of handmatig).
- Update in verwerkersregister.
Cloud-mail opgeruimd, on-premise back-ups vernietigd.
Wij vernietigen de fysieke kopieen die niet in cloud-deletion meegaan: USB's, tapes, oude HDD's met mailarchief.
Lees meer voor IT-MSP'sWerkt je organisatie aan e-mail retention beleid? Mail ons via desnipperaar.nl over de fysieke kant van de opruim.