Verwerkersregister: hoe leg je archief en vernietiging vast?
Artikel 30 van de AVG vraagt elke organisatie met meer dan 250 medewerkers, en in de praktijk vrijwel iedereen die structureel persoonsgegevens verwerkt, om een register van verwerkingsactiviteiten. Die verplichting omvat archiefbeheer en vernietiging, want bewaren is een verwerkingsvorm. Maar wat moet er precies in dat register over archief en vernietiging? Dit artikel geeft een praktisch sjabloon zonder onnodige bureaucratie.
Wat de AVG eist
Artikel 30 lid 1 noemt expliciet:
- Naam en contactgegevens verwerkingsverantwoordelijke.
- Doeleinden van de verwerking.
- Categorieen betrokkenen en persoonsgegevens.
- Categorieen ontvangers.
- Eventuele doorgifte naar derde landen.
- Voorgenomen termijnen voor het wissen.
- Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.
De vetgedrukte regel is waar archief en vernietiging direct samenkomen. Een register zonder bewaartermijn is incompleet.
Per verwerking: wat noteer je over archief?
Per verwerking (klantadministratie, HR-dossier, sollicitanten, etc.) leg je vast:
- Bewaartermijn: hoe lang houd je het, en gebaseerd op welke wet of grondslag? Verwijs naar de AVG-bewaartermijnen cheatsheet voor de standaardregels.
- Trigger voor de termijn: vanaf einde dienstverband, datum laatste factuur, ondertekening akte, etc.
- Locatie van het archief: kantoor, archiefdepot extern, cloud-service.
- Toegang: wie kan erbij?
- Vernietigingsmethode: shredderen DIN P-5, cryptografische erasure, of anders.
- Vernietigingsfrequentie: jaarlijks, kwartaal, ad hoc.
Algemeen: het beveiligingsdeel
Naast de per-verwerking-rij hoort er een algemeen beveiligingsbeleid in het register dat onder meer benoemt:
- Fysieke beveiliging archiefruimte: afgesloten kasten, toegangscontrole, lokaal alarm.
- Procedure rond vernietiging: wie wijst documenten aan, wie tekent het certificaat, wie bewaart het bewijs.
- Verwerkersovereenkomst met vernietigingsleverancier: lees de verwerkersovereenkomst checklist voor wat erin hoort.
- Bewaartermijn certificaten: wij adviseren 5 jaar.
Sjabloon: een rij in het register
| Veld | Voorbeeldwaarde |
|---|---|
| Verwerking | Klantadministratie verkoop B2B |
| Doel | Uitvoering overeenkomst, fiscale bewaarplicht |
| Categorieen gegevens | NAW, e-mail, telefoon, factuurgegevens |
| Bewaartermijn | 7 jaar na laatste factuur |
| Wettelijke grondslag | AWR art. 52 |
| Locatie | Cloud (Exact Online) plus papieren backup in archiefkast |
| Toegang | Boekhouding, directie |
| Vernietigingsmethode | Cloud: cryptografische erasure. Papier: DIN P-5 mobiele shredding. |
| Frequentie | Jaarlijks na 31 maart (na jaarafsluiting) |
Hoe verwijs je naar je vernietigingsleverancier?
Onder ‘categorieen ontvangers' noem je de leverancier van vernietigingsdiensten. Daarbij verwijs je naar de verwerkersovereenkomst die je met die leverancier hebt afgesloten. Lees onze verwerkersovereenkomst checklist voor wat erin hoort.
De vernietigingsleverancier is een verwerker onder AVG art. 28. Hij heeft kortdurend toegang tot persoonsgegevens (in dozen die wachten op vernietiging). Daar hoort een verwerkersovereenkomst bij.
Bewaar het bewijs van vernietiging
Het register zelf is geen bewijs dat vernietiging plaatsvond. Daarvoor heb je het certificaat nodig. Bewaar elk certificaat:
- Minimaal 5 jaar na vernietigingsdatum.
- Op een vindbare plek (compliance-folder, gedeelde drive, contractsysteem).
- Met verwijzing vanuit het register naar de certificaat-locatie.
Voor de algemene certificaat-eisen, zie het certificaat van vernietiging.
Hoe vaak update je het register?
- Jaarlijks standaardreview, idealiter samen met het auditmoment.
- Bij elke nieuwe verwerking: nieuwe rij toevoegen.
- Bij wijziging in vernietigingsleverancier: contactgegevens bijwerken.
- Bij wijziging van bewaartermijn: bijvoorbeeld na sectorspecifieke wetswijziging.
Veelgemaakte fouten
- ‘Bewaartermijn: voor altijd'. Geen geldige termijn onder AVG.
- ‘Bewaartermijn: zo lang als nodig'. Te vaag; AP wil expliciete termijn.
- Vernietigingsleverancier niet opgenomen. Hij is een verwerker; hij hoort erin.
- Verschillende termijnen door elkaar. Per categorie eigen termijn; geen ‘7 jaar voor alles'.
- Geen certificaat-bewaarstrategie. Bewaar het bewijs of het is alsof er niets gebeurd is.
Voor wie is dit verplicht?
Strikt geldt artikel 30 voor organisaties met meer dan 250 medewerkers. In de praktijk gebruikt de AP het register als toetssteen bij vrijwel elke organisatie die regelmatig persoonsgegevens verwerkt. Geen register hebben omdat je ‘maar 50 medewerkers' hebt is technisch verdedigbaar maar zwak bij een AP-bezoek. Beter is een proportioneel register: een eenvoudige spreadsheet met de rijen die hierboven beschreven zijn.
Voorbeelden per branche
Voor sectorspecifieke verwerkingen, zie onze artikelen voor:
- MKB en AVG-documentvernietiging
- WGBO 20 jaar voor patientendossiers
- Wwft 5 jaar voor cliëntonderzoek
- Wft 5 jaar voor financiele dossiers
Verwerkersovereenkomst en vernietigingscertificaat in één leverancier.
Wij leveren standaard een verwerkersovereenkomst onder AVG art. 28 en certificaten per opdracht. Direct te koppelen aan je register.
Vraag een offerte aanEerste keer een register opzetten? Mail ons via desnipperaar.nl. We delen graag een sjabloon-rij voor archief en vernietiging.