HomeKennisbank › Vertrouwelijk papier vernietigen voor bedrijven
AVG

Vertrouwelijk papier vernietigen voor bedrijven: wat moet en hoe

· 11 min lezen · DeSnipperaar
Vertrouwelijk papier vernietigen voor bedrijven

Vertrouwelijk papier vernietigen is voor bedrijven geen keuze maar een AVG-verplichting. Alles met persoonsgegevens of gevoelige bedrijfsinformatie hoort aantoonbaar onleesbaar gemaakt te worden, met een certificaat als bewijs. Het materiaal wordt opgehaald en vernietigd op het juiste DIN-niveau.

Snel checken of u dit goed geregeld heeft? Loop deze lijst langs:

  • Staat er een afgesloten bak voor vertrouwelijk papier, of belandt het in de prullenbak?
  • Weten medewerkers welk papier vertrouwelijk is?
  • Wordt het vernietigd op minimaal DIN 66399 P-4?
  • Ontvangt u een certificaat van vernietiging?
  • Bewaart u dat certificaat in uw AVG-dossier?

Twijfelt u bij een van deze punten, dan leest u hieronder hoe u het netjes regelt. We behandelen wat als vertrouwelijk telt, wat de AVG eist, welke risico's een papierlek met zich meebrengt, hoe het ophalen werkt en welk bewijs u overhoudt.

Wat is vertrouwelijk papier?

Vertrouwelijk is elk document met persoonsgegevens of bedrijfsgevoelige informatie. In de praktijk valt daar veel meer onder dan mensen denken:

  • Personeelsdossiers met loonstroken, BSN, beoordelingen en kopieen van identiteitsbewijzen.
  • Klantgegevens zoals adressen, bestelhistorie, klachten en betaalgegevens.
  • Financiele administratie, facturen, bankafschriften en jaarstukken.
  • Contracten en offertes, met prijzen, voorwaarden en namen.
  • Interne stukken, notulen, strategie, conceptversies en aantekeningen.

De vuistregel is eenvoudig, twijfelt u of een document gevoelig is, behandel het dan alsof het dat is. De volledige uitleg over welke stukken vertrouwelijk zijn staat in vertrouwelijke documenten vernietigen.

Wat de AVG van bedrijven vraagt

Twee artikelen uit de AVG zijn hier doorslaggevend. Artikel 5 vraagt om opslagbeperking, u bewaart persoonsgegevens niet langer dan nodig en ruimt ze daarna op. Artikel 32 vraagt om passende technische en organisatorische maatregelen om die gegevens te beschermen. Die beschermplicht stopt niet bij het archief, maar loopt door tot een document onleesbaar is vernietigd. Een dossier dat zijn bewaartermijn voorbij is en toch in de kast blijft liggen, is dus zelf een overtreding. Wat dit concreet voor het MKB betekent leest u in AVG-eisen voor het MKB.

Hoe lang bewaren voordat u vernietigt?

Vernietigen mag pas als de bewaartermijn voorbij is, want sommige stukken moet u juist een tijd bewaren. De fiscale bewaarplicht voor de administratie is zeven jaar, voor gegevens over onroerend goed tien jaar. Personeelsdossiers kennen eigen termijnen, een deel mag twee jaar na uitdiensttreding weg, loonbelastinggegevens bewaart u langer. De praktische aanpak is een vaste planning, jaarlijks beoordeelt u welke dossiers hun termijn voorbij zijn en die gaan in de eerstvolgende ophaal mee. Zo bewaart u niet te lang en niet te kort.

De risico's van een papierlek

Een datalek is lang niet altijd een hack. Een doos met oude dossiers die bij het oud papier belandt, een volle prullenbak die op straat wordt gezet, een map die uit een verhuisdoos valt. In al die gevallen kan iemand persoonsgegevens meenemen. De gevolgen kunnen flink zijn:

  • Meldplicht. Een ernstig datalek meldt u binnen 72 uur bij de Autoriteit Persoonsgegevens. Hoe dat werkt staat in datalek melden in 72 uur.
  • Boete. De toezichthouder kan een boete opleggen bij onzorgvuldig omgaan met gegevens.
  • Reputatie. Een lek met klantgegevens schaadt het vertrouwen, vaak langduriger dan de boete zelf.
  • Fraude. Met een BSN of kopie ID kan iemand identiteitsfraude plegen, ten koste van uw medewerker of klant.

Vertrouwelijke vernietiging haalt dat risico weg. Het papier gaat verzegeld mee en wordt aantoonbaar onleesbaar gemaakt.

Wie is verantwoordelijk binnen de organisatie?

Onder de AVG is uw organisatie verwerkingsverantwoordelijke, niet de individuele medewerker. Toch valt of staat het in de praktijk met duidelijke afspraken. Wijs iemand aan die het overzicht houdt, bijvoorbeeld de office manager of de functionaris gegevensbescherming. Leg kort vast wie wat doet. Wie bepaalt welke dossiers weg mogen, wie plant de ophaal en wie bewaart de certificaten. Een halve pagina werkafspraken voorkomt dat vertrouwelijk papier blijft liggen omdat niemand zich verantwoordelijk voelt.

Hoe werkt vertrouwelijke vernietiging voor bedrijven?

  1. Verzamelen. Vertrouwelijk papier gaat in een afgesloten bak of in dozen, gescheiden van gewoon oud papier.
  2. Aanvraag. U geeft het volume door en kiest eenmalig of periodiek. U krijgt een vaste prijs.
  3. Ophalen. Wij halen het op uw locatie op, voor gevoelige stukken verzegeld.
  4. Vernietigen. Het papier wordt op het juiste DIN-niveau versnipperd en daarna gerecycled.
  5. Certificaat. U ontvangt een certificaat van vernietiging voor uw dossier.

Welk DIN-niveau is nodig?

De norm DIN 66399 legt vast hoe fijn papier versnipperd moet worden. Hoe gevoeliger de gegevens, hoe kleiner de snippers.

NiveauSnippergrootteGeschikt voor
P-2StrokenAlgemeen drukwerk zonder gegevens
P-4Kleine snippersDocumenten met persoonsgegevens
P-5Zeer kleine snippersBSN, medische en bijzondere gegevens

Voor de meeste kantoorstukken is P-4 het werkbare minimum. Werkt u met bijzondere persoonsgegevens, zoals een zorgpraktijk of een HR-afdeling met BSN, dan is P-5 aangewezen.

Vertrouwelijk papier per branche

Bijna elke organisatie produceert vertrouwelijk papier, maar het accent verschilt. Een accountantskantoor heeft jaarstukken en klantdossiers, een advocatenkantoor zaakdossiers, een zorgpraktijk patientgegevens, een webshop pakbonnen met adressen, een HR-afdeling personeelsdossiers. Wat ze delen is de plicht om die stukken na de bewaartermijn aantoonbaar te vernietigen. De aanpak is voor allemaal hetzelfde, verzamelen in een afgesloten bak, laten ophalen en het certificaat bewaren. Wie precies welke termijn moet aanhouden verschilt per sector, maar de plicht om aantoonbaar te vernietigen geldt voor iedereen.

Een afgesloten bak op kantoor

De meest praktische oplossing voor bedrijven die doorlopend vertrouwelijk papier produceren is een afgesloten bak op kantoor. Medewerkers gooien hun vertrouwelijke stukken er meteen in, in plaats van in de gewone prullenbak. Niemand kan er onderweg bij, want de bak is afgesloten. Periodiek wordt de bak opgehaald en geleegd, bijvoorbeeld per maand of per kwartaal. Zo blijft het netjes geregeld zonder dat iemand er telkens aan hoeft te denken. Een goede werkwijze op de werkplek hoort daarbij, zoals beschreven in clean desk policy en vernietiging.

Periodiek of eenmalig?

Heeft u een eenmalige opruiming, bijvoorbeeld na een jaarafsluiting of een verhuizing, dan volstaat een eenmalige ophaal zonder contract. Produceert u doorlopend vertrouwelijk papier, dan is een vaste frequentie handiger. De afweging hangt vooral af van hoe snel het papier zich opstapelt. Veel mkb-bedrijven combineren beide, een vaste bak voor de dagelijkse stroom en een losse ophaal als de archiefkast wordt leeggehaald.

Heeft u een verwerkersovereenkomst nodig?

Laat u een externe partij structureel persoonsgegevens vernietigen, dan is een verwerkersovereenkomst gebruikelijk. Daarin staat wat de verwerker met de gegevens mag doen en hoe hij ze beveiligt. Bij een eenmalige ophaal volstaat in de praktijk vaak het certificaat van vernietiging als bewijs dat de stukken correct zijn vernietigd. Wat er in zo'n overeenkomst hoort te staan leest u in de verwerkersovereenkomst checklist.

Het certificaat van vernietiging

Na elke ophaal ontvangt u een certificaat van vernietiging met datum, hoeveelheid en het toegepaste DIN-niveau. Dat document is uw bewijs richting de Autoriteit Persoonsgegevens, een auditor of een klant die vraagt wat er met zijn gegevens is gebeurd. Zonder dat bewijs staat u bij een controle met lege handen, ook al heeft u alles correct laten vernietigen. Bewaar het certificaat minimaal 5 jaar in uw AVG-dossier.

Vergeet de datadragers niet

Vertrouwelijke informatie staat niet alleen op papier. In dezelfde kast liggen vaak oude harde schijven, usb-sticks of een afgeschreven laptop met jaren aan bedrijfsgegevens. Een bestand verwijderen wist die data niet echt en op een SSD is software-wissen onbetrouwbaar. Voor zekerheid is fysieke vernietiging van de drager nodig, op het juiste niveau en met de serienummers op het certificaat. Het praktische voordeel is dat papier en datadragers in dezelfde ophaal mee kunnen, elk vernietigd op zijn eigen manier. Zo sluit u zowel de papieren als de digitale stroom in een keer af.

Vertrouwelijk papier en thuiswerken

Sinds meer mensen deels thuiswerken, ontstaat vertrouwelijk papier ook buiten kantoor. Een afgedrukte offerte, een notitie met klantgegevens, een printje dat blijft slingeren. Thuis is er zelden een afgesloten bak of een goede shredder, waardoor stukken makkelijk bij het gewone oud papier belanden. Spreek daarom af dat medewerkers vertrouwelijk papier mee terugnemen naar kantoor en daar in de afgesloten bak doen. Hoe u dat regelt leest u in thuiswerken met vertrouwelijke documenten.

Wat kost vertrouwelijk papier vernietigen?

U betaalt een vaste prijs per doos of rolcontainer, vooraf bekend. De eerste doos kost ongeveer 30 euro en bij grotere volumes wordt een rolcontainer per kilo voordeliger. Binnen 20 km van Amsterdam rekenen wij geen voorrijkosten. De volledige prijsopbouw met rekenvoorbeelden staat in wat kost archiefvernietiging. Voor een afgesloten bak met vaste frequentie maakt u een afspraak op basis van uw volume.

Wat gebeurt er met het papier na vernietiging?

Versnipperd papier gaat na de vernietiging naar een papierfabriek, waar het wordt omgesmolten tot nieuwe vezels. Uw oude administratie wordt zo grondstof voor nieuw papier, zonder dat er iets leesbaar overblijft. Vertrouwelijke vernietiging en duurzaamheid gaan dus samen. Voor veel bedrijven is dat een prettig detail in het duurzaamheidsverslag, veilig opruimen draagt tegelijk bij aan de papierkringloop.

Zelf vernietigen of uitbesteden?

Een kantoorshredder lijkt goedkoop, maar is traag, loopt vast en haalt zelden een hoog DIN-niveau. Bovendien levert hij geen certificaat op, terwijl dat juist uw bewijs is. Voor een paar vellen per dag is zelf knippen prima, maar zodra het om dozen of een doorlopende stroom gaat, is uitbesteden sneller, veiliger en beter aantoonbaar. Het belangrijkste verschil is het bewijs, een dienstverlener legt vast wat er is vernietigd en op welk niveau.

Een voorbeeld uit de praktijk

Stel, een HR-afdeling sluit het jaar af en wil de personeelsdossiers opruimen waarvan de bewaartermijn voorbij is. Die dossiers bevatten loonstroken, beoordelingen en kopieen van identiteitsbewijzen, allemaal bijzondere persoonsgegevens. Zelf knippen met het kantoorapparaat zou dagen kosten en haalt geen P-5. In plaats daarvan verzamelt de afdeling de dossiers in een afgesloten bak, geeft het volume door en plant een ophaal. De stukken worden op P-5 vernietigd en de HR-manager ontvangt een certificaat dat netjes in het AVG-dossier gaat. Bij de volgende audit is het bewijs meteen voorhanden.

Maak er beleid van

Losse acties werken even, maar beklijven zelden. Vertrouwelijke vernietiging werkt het best als vast onderdeel van uw informatiebeveiliging. Leg in een korte richtlijn vast wat vertrouwelijk is, waar het verzameld wordt, op welk niveau het vernietigd wordt en hoe vaak de bak wordt opgehaald. Neem het mee in de introductie van nieuwe medewerkers, zodat iedereen vanaf dag een weet hoe het werkt. Zo wordt zorgvuldig opruimen een gewoonte in plaats van een jaarlijkse stress.

Veelgemaakte fouten

  • Vertrouwelijk papier in de gewone prullenbak. Zonder afgesloten bak verdwijnt het tussen het gewone afval, met lekrisico.
  • Te lang bewaren. Een dossier voorbij zijn bewaartermijn dat blijft liggen is zelf een overtreding.
  • Geen certificaat vragen. Zonder bewijs kunt u niet aantonen dat u zorgvuldig vernietigd heeft.
  • Een te laag niveau. Voor BSN en bijzondere gegevens is P-5 nodig, niet P-2.
  • Medewerkers niet informeren. Als niemand weet wat vertrouwelijk is, gaat het alsnog mis.

Praktische tips

  • Zet een afgesloten bak op een centrale plek, niet weggestopt in een hoek.
  • Label duidelijk wat erin hoort, zodat niemand hoeft te twijfelen.
  • Plan een vaste opruimronde per kwartaal voor dossiers die hun bewaartermijn voorbij zijn.
  • Geef datadragers mee zoals oude usb-sticks en harde schijven in dezelfde ophaal.
  • Archiveer de certificaten digitaal, zodat u ze bij een audit meteen terugvindt.

In 4 stappen geregeld

  1. Plaats een afgesloten bak of verzamel vertrouwelijk papier apart in dozen.
  2. Kies eenmalig of periodiek en vraag een vaste prijs aan.
  3. Laat ophalen en vernietigen op het juiste DIN-niveau.
  4. Bewaar het certificaat minimaal 5 jaar in uw AVG-dossier.

Vertrouwelijk papier laten vernietigen?

Geef door hoeveel u heeft en kies eenmalig of periodiek. U krijgt een vaste prijs, wij halen het op en vernietigen het op het juiste niveau, met een certificaat als bewijs. Geen voorrijkosten binnen 20 km van Amsterdam.

Vraag een offerte aan

Veelgestelde vragen

Wat telt als vertrouwelijk papier?

Elk document met persoonsgegevens of bedrijfsgevoelige informatie: personeels- en klantdossiers, financiele stukken, contracten, offertes en interne notities. Bij twijfel behandelt u het als vertrouwelijk.

Mag een bedrijf vertrouwelijk papier bij het oud papier gooien?

Nee. Papier met persoonsgegevens onversnipperd weggooien is een datalek onder de AVG. Het hoort vertrouwelijk vernietigd te worden, met een certificaat als bewijs.

Heb ik een verwerkersovereenkomst nodig?

Voor structurele vernietiging van persoonsgegevens is een verwerkersovereenkomst gebruikelijk. Bij een eenmalige ophaal volstaat vaak het certificaat van vernietiging als bewijs.

Hoe vaak moet vertrouwelijk papier worden opgehaald?

Dat hangt af van uw volume. Veel bedrijven kiezen een afgesloten bak die maandelijks of per kwartaal wordt geleegd, anderen plannen een eenmalige ophaal bij een opruiming.

Welk DIN-niveau heb ik nodig?

Voor gewone kantoorstukken is DIN 66399 P-4 het minimum. Voor BSN, medische gegevens en ID-kopieen is P-5 aangewezen.

Conclusie

Vertrouwelijk papier vernietigen is voor bedrijven een verplichting die voortvloeit uit de AVG. Zorg voor een afgesloten bak, laat ophalen en vernietigen op het juiste DIN-niveau en bewaar het certificaat als bewijs. Zo voorkomt u een papierlek, voldoet u aan de meldplicht en kunt u bij elke controle laten zien dat u zorgvuldig met gegevens omgaat. Een goede werkwijze kost weinig moeite en neemt een fors risico weg. Begin klein met een bak en een vaste ophaalronde, de rest volgt vanzelf.

Klaar om uw vertrouwelijke papier veilig op te ruimen? Vraag een offerte aan via desnipperaar.nl. U geeft door hoeveel u heeft en u krijgt een vaste prijs met certificaat.