Vernietigingsbeleid opstellen voor het MKB: wat erin hoort, met voorbeeld
Een vernietigingsbeleid legt in een korte richtlijn vast wat u vernietigt, op welk DIN-niveau, hoe vaak, wie verantwoordelijk is en hoe u het bewijs bewaart. Voor het MKB volstaat vaak een halve pagina. Het maakt van vertrouwelijke vernietiging een vaste werkwijze in plaats van een losse actie. Dat helpt u te voldoen aan de AVG.
Veel mkb-bedrijven vernietigen wel vertrouwelijk papier, maar leggen nergens vast hoe. Bij een controle of een datalek komt dan de vraag wat uw werkwijze is. Daar is een kort beleid het antwoord op. In dit artikel leest u wat een vernietigingsbeleid is, wat erin hoort, hoe u het in een paar stappen opstelt en u vindt een voorbeeld dat u kunt overnemen.
Waarom een vernietigingsbeleid?
Een beleid lost twee dingen op. Het maakt de werkwijze duidelijk voor uw medewerkers, zodat iedereen weet wat vertrouwelijk is en hoe het wordt vernietigd. En het maakt uw aanpak aantoonbaar richting een toezichthouder of auditor, want u kunt laten zien dat zorgvuldigheid is afgesproken en niet aan toeval wordt overgelaten. De AVG schrijft geen vast document voor, maar de verantwoordingsplicht maakt zo'n richtlijn in de praktijk heel handig.
Wat is een vernietigingsbeleid precies?
Een vernietigingsbeleid is geen juridisch contract, maar een interne richtlijn. Het beschrijft in gewone taal hoe uw organisatie omgaat met het opruimen van vertrouwelijke informatie. Anders dan een eenmalige instructie is het een vast document waar iedereen naar kan verwijzen. Het hoeft niet uitgebreid te zijn, juist de eenvoud maakt het bruikbaar. Een halve pagina met duidelijke afspraken werkt beter dan een dik document dat niemand leest.
Voor wie is een vernietigingsbeleid?
Elke organisatie die persoonsgegevens verwerkt heeft baat bij een vernietigingsbeleid, van een eenmanszaak tot een mkb-bedrijf met tientallen medewerkers. Hoe meer mensen toegang hebben tot vertrouwelijke stukken, hoe belangrijker duidelijke afspraken zijn. Een accountantskantoor, een zorgpraktijk, een webshop of een HR-afdeling produceren allemaal gevoelig papier. Bij allemaal helpt een korte richtlijn om het netjes en aantoonbaar op te ruimen. Voor een klein bedrijf is een halve pagina vaak al genoeg.
Wat hoort er in een vernietigingsbeleid?
Een werkbaar vernietigingsbeleid voor het MKB bevat zes elementen:
- Wat is vertrouwelijk? Welke documenten en gegevens vallen eronder.
- Welk niveau? Op welk DIN 66399-niveau u vernietigt.
- Hoe vaak? De frequentie van opruimen en ophalen.
- Wie is verantwoordelijk? Wie het overzicht houdt en de ophaal regelt.
- Het bewijs. Hoe u het certificaat bewaart en in het register noteert.
- Datadragers. Hoe u omgaat met harde schijven, usb-sticks en telefoons.
Hieronder lopen we de zes elementen langs, zodat u ze een voor een kunt invullen.
Element 1: wat is vertrouwelijk?
Begin met afbakenen wat onder het beleid valt. Alles met persoonsgegevens of bedrijfsgevoelige informatie hoort erbij, zoals personeelsdossiers, klantgegevens, financiele administratie, contracten en interne notities. De vuistregel voor medewerkers is simpel, twijfelt u of een document gevoelig is, behandel het dan alsof het dat is. Wat precies als vertrouwelijk telt staat in vertrouwelijke documenten vernietigen.
Begin met de bewaartermijnen
Een goed vernietigingsbeleid begint bij weten wanneer iets weg mag. Sommige stukken moet u juist bewaren, zoals de administratie die zeven jaar fiscaal bewaard blijft. Neem in het beleid een verwijzing op naar de bewaartermijnen die voor uw branche gelden, zodat medewerkers niet te vroeg vernietigen. Pas als de termijn voorbij is gaat een dossier mee in de vernietiging. Een overzicht van veelvoorkomende termijnen staat in de AVG-bewaartermijnen cheatsheet.
Element 2: op welk DIN-niveau?
Leg vast op welk niveau u vernietigt. Voor gewone kantoorstukken is P-4 het werkbare minimum, voor BSN en medische gegevens is P-5 aangewezen.
| Niveau | Snippergrootte | Geschikt voor |
|---|---|---|
| P-2 | Stroken | Algemeen drukwerk zonder gegevens |
| P-4 | Kleine snippers | Documenten met persoonsgegevens |
| P-5 | Zeer kleine snippers | BSN, medische en bijzondere gegevens |
Door het niveau in het beleid op te nemen, kunt u later aantonen dat het passend was. Meer over de niveaus staat in DIN 66399 uitgelegd.
Element 3: hoe vaak en wanneer?
Bepaal een vaste frequentie. Veel mkb-bedrijven kiezen een afgesloten bak die maandelijks of per kwartaal wordt geleegd, aangevuld met een jaarlijkse beoordeling van dossiers waarvan de bewaartermijn voorbij is. Zo wordt opruimen een ritme in plaats van een uitstelpost. De afweging tussen periodiek en eenmalig staat in recurring vernietiging versus eenmalig.
Element 4: wie is verantwoordelijk?
Wijs iemand aan die het overzicht houdt, bijvoorbeeld de office manager of de functionaris gegevensbescherming. Leg kort vast wie bepaalt welke dossiers weg mogen, wie de ophaal plant en wie de certificaten bewaart. Een halve pagina werkafspraken voorkomt dat vertrouwelijk papier blijft liggen omdat niemand zich verantwoordelijk voelt.
Element 5: het bewijs vastleggen
Beschrijf hoe u het bewijs bewaart. Na elke ophaal ontvangt u een certificaat van vernietiging, dat u digitaal archiveert en in uw verwerkingsregister noteert. Zo is aantoonbaar dat u niet alleen een afspraak heeft, maar die ook uitvoert. Hoe aantoonbaarheid werkt leest u in aantoonbaar vernietigen voor de AVG.
Element 6: datadragers
Vergeet de digitale kant niet. Persoonsgegevens staan ook op harde schijven, usb-sticks en telefoons. Leg vast dat afgeschreven dragers fysiek worden vernietigd en op serienummer geregistreerd. Ze kunnen in dezelfde ophaal als het papier mee. Zo dekt het beleid de hele vertrouwelijke stroom af, niet alleen het papier.
Verschil met een clean desk policy
Een clean desk policy en een vernietigingsbeleid worden vaak verward, maar ze vullen elkaar aan. Een clean desk policy gaat over de werkplek, geen vertrouwelijke stukken open laten liggen aan het eind van de dag. Een vernietigingsbeleid gaat over wat er daarna met die stukken gebeurt, hoe en wanneer ze worden vernietigd. Samen sluiten ze de cirkel, van het bureau tot de afgesloten bak tot het certificaat. Meer over de werkplekkant staat in clean desk policy en vernietiging.
Een voorbeeld om over te nemen
Een beleid hoeft niet ingewikkeld te zijn. Een voorbeeld voor een mkb-kantoor zou kunnen luiden:
Alle documenten met persoonsgegevens of bedrijfsgevoelige informatie worden vertrouwelijk vernietigd op DIN 66399 P-4. Bijzondere persoonsgegevens worden op P-5 vernietigd. Medewerkers deponeren deze stukken in de afgesloten bak bij de printer. De bak wordt per kwartaal opgehaald en vernietigd door een gecertificeerde dienstverlener. Jaarlijks beoordeelt de office manager welke archiefdossiers hun bewaartermijn voorbij zijn en plant daarvoor een extra ophaal. Datadragers worden bij afschrijving fysiek vernietigd op serienummer. Van elke vernietiging wordt het certificaat digitaal bewaard en in het verwerkingsregister genoteerd. De office manager is verantwoordelijk voor de uitvoering.
Pas de details aan op uw situatie en u heeft in een halve pagina een werkbaar beleid.
Sjabloon of zelf schrijven?
U hoeft het wiel niet opnieuw uit te vinden. Het voorbeeld hierboven werkt als sjabloon, u vult alleen uw eigen niveau, frequentie en verantwoordelijke in. Zelf schrijven heeft als voordeel dat het beleid precies bij uw werkwijze past en herkenbaar is voor uw team. Begin klein met de zes elementen en breid alleen uit als uw situatie daarom vraagt. Een kort beleid dat klopt is meer waard dan een uitgebreid beleid dat niemand volgt.
Hoe stelt u het op?
- Inventariseer welke vertrouwelijke stromen u heeft, papier en digitaal.
- Kies het niveau en de frequentie die bij uw gegevens passen.
- Wijs een verantwoordelijke aan en leg de werkafspraken vast.
- Beschrijf het bewijs, het certificaat en de notitie in het register.
- Deel het beleid met uw medewerkers en neem het op in de introductie van nieuwe mensen.
De koppeling met de AVG
Een vernietigingsbeleid sluit aan op de verantwoordingsplicht uit artikel 5 lid 2 van de AVG. U moet niet alleen zorgvuldig omgaan met persoonsgegevens, maar dat ook kunnen aantonen. Het beleid laat zien dat opruimen onderdeel is van uw informatiebeveiliging. De certificaten leveren het bewijs per keer. Wat de AVG verder van het MKB vraagt leest u in AVG-eisen voor het MKB.
Het beleid en de ophaalservice
Een beleid op papier is pas compleet als de uitvoering is geregeld. Een ophaalservice maakt dat eenvoudig, want u laat het papier en de datadragers op uw locatie ophalen en vernietigen, met een certificaat als bewijs. U hoeft zelf niets weg te brengen en de keten blijft gesloten. Of u nu een vaste bak per kwartaal laat legen of jaarlijks de archiefkast opruimt, dezelfde service voert uw beleid uit. Zo wordt het beleid geen papieren tijger maar een werkende praktijk.
Wat kost het uitvoeren van het beleid?
Een beleid opstellen kost alleen wat tijd, het uitvoeren kost een vaste prijs per ophaal. U betaalt vanaf ongeveer 30 euro voor de eerste doos. Datadragers worden per stuk afgerekend. Binnen 20 km van Amsterdam rekenen wij geen voorrijkosten. Een vaste bak met periodieke ophaal werkt vaak voordelig per keer. De volledige prijsopbouw staat in archiefvernietiging kosten, zodat u de uitvoering van uw beleid vooraf kunt inschatten.
Aantoonbaar bij een audit of controle
Het grote voordeel van een vernietigingsbeleid blijkt bij een audit of een controle door de Autoriteit Persoonsgegevens. U laat dan niet alleen losse certificaten zien, maar ook het beleid waar ze uit voortkomen. Dat maakt een overtuigender indruk, want het toont dat zorgvuldigheid is ingebed in uw organisatie en niet aan toeval wordt overgelaten. Een controleur ziet in een paar minuten dat u een afspraak heeft en die ook uitvoert.
Invoeren en levend houden
Een beleid op papier dat niemand kent werkt niet. Deel het kort met uw team, bijvoorbeeld in een werkoverleg. Neem het ook mee in de introductie van nieuwe medewerkers. Beoordeel het beleid een keer per jaar en pas het aan als er iets verandert, bijvoorbeeld een nieuwe soort gegevens of een andere frequentie. Zo blijft het een levend document in plaats van een vergeten bestand op een gedeelde schijf.
Een beleid is nooit helemaal af
Organisaties veranderen en uw beleid verandert mee. Komt er een nieuwe soort gevoelige gegevens bij, gaat u digitaler werken of verandert de frequentie, pas het beleid dan aan. Een jaarlijkse blik van vijf minuten is genoeg om te controleren of de afspraken nog kloppen. Zo voorkomt u dat het beleid achterhaald raakt en blijft het bruikbaar bij een controle. Een levend document weegt bij een audit zwaarder dan een versie van jaren geleden.
Praktische tips
- Houd het kort, een halve pagina met duidelijke afspraken werkt het best.
- Deel het beleid en neem het op in de introductie van nieuwe medewerkers.
- Vergeet de datadragers niet naast het papier.
- Bewaar de certificaten digitaal en noteer ze in het register.
Veelgemaakte fouten
- Geen beleid, alleen losse acties. Dan kunt u bij een controle niet laten zien dat er afspraken zijn.
- Het beleid niet delen. Een richtlijn die medewerkers niet kennen werkt niet.
- De digitale kant vergeten. Datadragers horen er net zo goed in als papier.
- Geen bewijs vastleggen. Zonder certificaten in het register blijft het bij goede bedoelingen.
Het beleid en het verwerkingsregister
Het vernietigingsbeleid en het verwerkingsregister horen bij elkaar. Het register legt vast welke gegevens u verwerkt en hoe lang, het beleid beschrijft hoe u ze daarna opruimt. Een verwijzing over en weer maakt het geheel sluitend. Zo ziet een toezichthouder dat de bewaartermijn niet alleen op papier staat, maar ook wordt uitgevoerd. Hoe u dat register opzet leest u in het verwerkersregister voor archief en vernietiging.
Een voorbeeld uit de praktijk
Stel, een administratiekantoor met acht medewerkers had geen vastgelegde werkwijze voor vertrouwelijk papier. Na een vraag van een klant besluit het kantoor een kort beleid op te stellen. Op een halve pagina staat wat vertrouwelijk is, dat er op P-5 wordt vernietigd, dat de bak per kwartaal wordt opgehaald en dat de office manager de certificaten bewaart. Het beleid wordt in een werkoverleg gedeeld. Toen een half jaar later een klant vroeg hoe het kantoor met oude dossiers omgaat, kon het in een paar zinnen het beleid laten zien, met de certificaten als bewijs.
Vernietiging vast onderdeel van uw beleid maken?
Wij halen uw vertrouwelijke papier en datadragers op, vernietigen op het juiste DIN-niveau en leveren een certificaat als bewijs. Zo voert u uw beleid eenvoudig uit. Geen voorrijkosten binnen 20 km van Amsterdam.
Vraag een offerte aanVeelgestelde vragen
Wat is een vernietigingsbeleid?
Een korte richtlijn die vastlegt wat u vernietigt, op welk DIN-niveau, hoe vaak, wie verantwoordelijk is en hoe u het bewijs bewaart. Een halve pagina volstaat vaak.
Is een vernietigingsbeleid verplicht?
De AVG schrijft geen vast document voor, maar door de verantwoordingsplicht moet u kunnen aantonen dat u zorgvuldig omgaat met persoonsgegevens. Een beleid maakt dat eenvoudig.
Wat hoort er minimaal in?
Wat als vertrouwelijk geldt, het DIN-niveau, de frequentie, de verantwoordelijke persoon en hoe u het certificaat bewaart en registreert.
Hoe lang is een vernietigingsbeleid?
Voor het MKB volstaat vaak een halve tot een hele pagina. Het gaat om duidelijke afspraken, niet om een lijvig document.
Hoort een clean desk policy hierbij?
Ja. Een clean desk policy en een vernietigingsbeleid vullen elkaar aan. Zie clean desk policy en vernietiging.
Conclusie
Een vernietigingsbeleid maakt van vertrouwelijke vernietiging een vaste, aantoonbare werkwijze. Leg in een korte richtlijn vast wat vertrouwelijk is, op welk niveau u vernietigt, hoe vaak, wie verantwoordelijk is en hoe u het bewijs bewaart. Vergeet de datadragers niet en deel het beleid met uw team. Een halve pagina is genoeg om bij een controle of een vraag van een klant in een paar zinnen te laten zien dat u het netjes geregeld heeft.
Uw beleid uitvoeren met certificaat? Vraag een offerte aan via desnipperaar.nl of lees hoe aantoonbaar vernietigen voor de AVG werkt. U ontvangt een certificaat als bewijs.