AVG en documentbeheer: praktische compliancegids
Praktische gids voor AVG-conform documentbeheer: bewaartermijnen, rechten van betrokkenen, DPIA en technische maatregelen volgens de AP-richtlijnen.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokElk document dat een organisatie verzamelt, bevat persoonsgegevens die beschermd worden door de Algemene Verordening Gegevensbescherming (EU) 2016/679 en de Nederlandse uitvoeringswet, de UAVG (Uitvoeringswet AVG). Kopieën van identiteitsbewijzen, loonstroken, arbeidsovereenkomsten, adresbewijzen -- elk document brengt specifieke verplichtingen met zich mee op het gebied van verwerking, bewaring en vernietiging. De AP (Autoriteit Persoonsgegevens) heeft de handhaving op documentbeheer verscherpt, met boetes tot 20 miljoen euro of 4 % van de wereldwijde jaaromzet. Deze gids beschrijft de toepasselijke principes, bewaartermijnen, rechten van betrokkenen en concrete maatregelen voor AVG-conform documentbeheer.
De 7 AVG-principes toegepast op documentbeheer
De AVG is gebaseerd op zeven fundamentele principes die rechtstreeks van toepassing zijn op het verzamelen, verwerken en bewaren van documenten. Het begrijpen van hun praktische toepassing in documentbeheer is de basis voor elk complianceprogramma.
| AVG-principe | Artikel | Toepassing op documentbeheer |
|---|---|---|
| Rechtmatigheid, behoorlijkheid, transparantie | Art. 5 lid 1 sub a | Elke documentverzameling berust op een geldige grondslag (wettelijke verplichting, overeenkomst, gerechtvaardigd belang) en de betrokkene wordt geïnformeerd |
| Doelbinding | Art. 5 lid 1 sub b | Een identiteitsbewijs verzameld voor KYC-verificatie mag niet worden hergebruikt voor marketingdoeleinden |
| Dataminimalisatie | Art. 5 lid 1 sub c | Alleen de strikt noodzakelijke documenten verzamelen: een bankafschrift volstaat als adresbewijs, geen volledig kredietrapport |
| Juistheid | Art. 5 lid 1 sub d | Verlopen documenten (verlopen paspoort, verouderd uittreksel) moeten worden bijgewerkt of verwijderd |
| Opslagbeperking | Art. 5 lid 1 sub e | Elk documenttype heeft een maximale bewaartermijn; na afloop moet het veilig worden vernietigd |
| Integriteit en vertrouwelijkheid | Art. 5 lid 1 sub f | Documenten moeten versleuteld zijn, toegang beperkt tot bevoegde medewerkers en overdrachten beveiligd |
| Verantwoordingsplicht | Art. 5 lid 2 | De organisatie moet compliance kunnen aantonen: verwerkingsregister, bewaarbeleid, audittrails |
De AP benadrukt dat het principe van dataminimalisatie in de praktijk het vaakst wordt geschonden, met name bij het kopiëren van identiteitsbewijzen. De AP heeft specifieke richtlijnen gepubliceerd over het kopiëren van identiteitsbewijzen en raadt het gebruik van de KopieID-app aan om onnodige gegevens door te strepen.
Voor specifieke richtlijnen over identiteitsdocumenten onder de AVG, zie onze gids AVG en identiteitsdocumenten.
Bewaartermijnen per documenttype
Het vaststellen van bewaartermijnen is een van de meest concrete AVG-verplichtingen. In Nederland vloeien deze termijnen voort uit de combinatie van de AVG, de UAVG en sectorale wetgeving. De AP heeft herhaaldelijk organisaties beboet voor het langer bewaren van documenten dan wettelijk gerechtvaardigd.
| Documenttype | Grondslag | Aanbevolen bewaartermijn | Toepasselijke regelgeving |
|---|---|---|---|
| Kopie identiteitsbewijs (KYC) | Wettelijke verplichting | 5 jaar na beëindiging zakelijke relatie | Wwft, art. 33 lid 2 |
| Arbeidsovereenkomst | Uitvoering overeenkomst | 7 jaar na beëindiging dienstverband | Fiscale bewaarplicht (AWR art. 52) |
| Loonstroken | Wettelijke verplichting | 7 jaar na einde dienstjaar | AWR art. 52 |
| Adresbewijs | Gerechtvaardigd belang | Duur van de relatie + 1 jaar | AP-richtlijn |
| Facturen | Wettelijke verplichting | 7 jaar na einde boekjaar | AWR art. 52 |
| Boekhoudkundige stukken | Wettelijke verplichting | 7 jaar na einde boekjaar | Burgerlijk Wetboek 2, art. 10 |
| Bankgegevens (IBAN) | Uitvoering overeenkomst | Duur van de relatie + 5 jaar | BW art. 3:307 (verjaring) |
| Arbeidsgezondheidskundige dossiers | Wettelijke verplichting | 20 jaar na laatste blootstelling | Arbobesluit art. 4.10a |
De wisselwerking tussen Wwft en AVG
In Nederland legt de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) een bewaartermijn van 5 jaar op voor identificatiedocumenten van cliënten. Deze termijn is korter dan de fiscale bewaarplicht van 7 jaar voor financiële documenten, wat organisaties dwingt om gedifferentieerde bewaarregels per documenttype te hanteren. De AP heeft verduidelijkt dat de wettelijke verplichting als grondslag prevaleert, maar dat documenten direct na het verstrijken van de wettelijke termijn veilig moeten worden vernietigd.
De praktische implementatie van deze termijnen vereist een documentbeheersysteem dat gedifferentieerde bewaarregels per documenttype kan toepassen en de automatische vernietiging bij afloop kan aansturen. Een geautomatiseerd documentverificatieplatform registreert elke verzameldatum en kan vernietigingen plannen.
Rechten van betrokkenen bij documentbeheer
De AVG kent betrokkenen een reeks rechten toe die de organisatie binnen een maand moet kunnen honoreren. In de context van documentbeheer hebben deze rechten specifieke operationele implicaties.
Recht van inzage (artikel 15)
Elke persoon kan de organisatie verzoeken om een kopie van alle documenten die zijn persoonsgegevens bevatten. De organisatie moet in staat zijn om alle documenten die aan een individu zijn gekoppeld, te lokaliseren en te extraheren in alle systemen: documentbeheersysteem, e-mailarchief, fysieke dossiers, back-ups. De AP beschouwt het technisch onvermogen om aan dit recht te voldoen als een schending van artikel 32 AVG.
Recht op vergetelheid (artikel 17)
De betrokkene kan verzoeken om verwijdering van zijn documenten, tenzij een wettelijke verplichting de bewaring voorschrijft. In de praktijk: als een klant verzoekt om verwijdering van zijn kopie identiteitsbewijs die in het kader van de Wwft is verzameld, mag de organisatie dit weigeren gedurende de wettelijke bewaartermijn van 5 jaar, maar moet het document worden vernietigd zodra die termijn is verstreken.
Recht op gegevensoverdraagbaarheid (artikel 20)
Dit recht stelt de betrokkene in staat zijn documenten te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat. Voor gescande documenten betekent dit het verstrekken van bestanden in standaardformaten (PDF, JPEG) met bijbehorende metadata (verzameldatum, doeleinde, bewaartermijn).
De automatisering van deze processen is op schaal onmisbaar. Ontdek hoe u uw documentcomplianceprogramma kunt structureren.
Gegevensbeschermingseffectbeoordeling (DPIA) voor documentverificatie
Een Gegevensbeschermingseffectbeoordeling (DPIA) is verplicht wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. De AP heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA verplicht is, waaronder uitdrukkelijk grootschalige identiteitsverificatie.
Wanneer is een DPIA verplicht
Een DPIA is vereist wanneer de documentverwerking aan ten minste twee van de volgende criteria voldoet: grootschalige verwerking, bijzondere gegevens (biometrie, identiteitsdocumenten), stelselmatige monitoring, gegevenscombinatie, kwetsbare personen. In de praktijk moet elke organisatie die de identiteit van meer dan enkele honderden personen per jaar verifieert, een DPIA uitvoeren voor haar documentverificatieprocessen.
Methodiek in vier stappen
De aanbevolen methodiek bestaat uit vier stappen. Ten eerste, de beschrijving van de verwerking: welke documenten worden verzameld, door wie, voor welk doeleinde, met welke middelen. Ten tweede, de beoordeling van noodzaak en evenredigheid: zijn alle verzamelde documenten onmisbaar, zijn de bewaartermijnen gerechtvaardigd, is er een minder ingrijpend alternatief. Ten derde, de risicobeoordeling: welke dreigingen bestaan er (datalek, onbevoegde toegang, verlies) en welk effect zouden ze hebben op betrokkenen. Ten vierde, de mitigerende maatregelen: versleuteling, pseudonimisering, toegangscontrole, opleiding van medewerkers.
De Functionaris voor Gegevensbescherming (FG) moet bij de uitvoering van de DPIA worden geraadpleegd. Als het restrisico na toepassing van de maatregelen hoog blijft, moet de organisatie de AP raadplegen voordat de verwerking wordt gestart.
Technische en organisatorische maatregelen
De AVG vereist de implementatie van passende technische en organisatorische maatregelen om de beveiliging van persoonsgegevens in documenten te waarborgen. Deze maatregelen moeten evenredig zijn aan het risico en gedocumenteerd zijn in het verwerkingsregister.
Versleuteling en toegangscontrole
Versleuteling van documenten in rust (AES-256) en tijdens overdracht (TLS 1.3) vormt de technische basislijn. Lees meer over onze beveiligingsstandaarden en de maatregelen die wij toepassen op documentverwerking. Rolgebaseerde toegangscontrole (RBAC) garandeert dat alleen bevoegde medewerkers specifieke documenttypen kunnen inzien: een HR-manager heeft toegang tot loonstroken, maar niet tot KYC-dossiers van de complianceafdeling.
Multifactorauthenticatie (MFA) wordt aanbevolen voor toegang tot documentbeheersystemen met bijzondere gegevens. De AP beschouwt het ontbreken van MFA bij verwerkingen met een hoog risico als een mogelijke schending van artikel 32 AVG.
Audittrails en logging
Elke toegang, wijziging of verwijdering van een document moet worden vastgelegd in een tijdgestempeld, niet-manipuleerbaar auditlogboek. Deze logs dienen twee doelen: het aantonen van compliance tijdens AP-onderzoeken en het detecteren van onbevoegde toegang. Elke logvermelding moet de gebruikersidentiteit, de uitgevoerde actie, het tijdstempel en het betreffende document bevatten.
Anonimisering en pseudonimisering
Wanneer documenten niet langer in hun volledige vorm nodig zijn, stellen pseudonimisering (vervanging van directe identificatoren door codes) of anonimisering (onomkeerbare verwijdering van alle identificerende elementen) de organisatie in staat gegevens te bewaren voor statistische of analytische doeleinden, met inachtneming van het beginsel van dataminimalisatie.
Voor organisaties in de financiële sector passen deze maatregelen in een breder compliancekader. Ontdek onze oplossingen voor financiering en leasing.
Opleiding en bewustwording
Technische maatregelen zijn zinloos zonder een gegevensbeschermingscultuur. De opleiding van medewerkers die persoonlijke documenten verwerken, moet de AVG-principes, interne bewaar- en vernietigingsprocedures en meldingsprotocollen bij datalekken (melding bij de AP binnen 72 uur, communicatie aan betrokkenen bij hoog risico) omvatten.
Veelgestelde vragen
Moet onze organisatie een FG aanstellen voor documentbeheer met persoonsgegevens
De aanstelling van een Functionaris voor Gegevensbescherming (FG) is verplicht voor overheidsinstanties en organisaties waarvan de kernactiviteit bestaat uit grootschalige, stelselmatige monitoring van personen of grootschalige verwerking van bijzondere persoonsgegevens. De UAVG voegt hier geen aanvullende verplichtingen aan toe, maar de AP raadt elke organisatie die regelmatig identiteitsdocumenten verwerkt aan om een FG aan te wijzen of ten minste een verantwoordelijke voor gegevensbescherming te benoemen.
Hoe lang mag een kopie van een identiteitsbewijs worden bewaard
Op grond van de Wwft moeten kopieën van identiteitsbewijzen die in het kader van cliëntonderzoek zijn verzameld, 5 jaar na het einde van de zakelijke relatie worden bewaard. Buiten de Wwft-context moet de bewaring beperkt blijven tot de duur van de contractuele relatie plus de toepasselijke verjaringstermijn (doorgaans 5 jaar op grond van artikel 3:307 BW). De AP benadrukt dat het bewaren van kopieën van identiteitsbewijzen "voor de zekerheid" in strijd is met het principe van opslagbeperking.
Wat te doen bij een datalek dat documenten met persoonsgegevens betreft
Bij een datalek moet de verwerkingsverantwoordelijke de AP binnen 72 uur na ontdekking melden, tenzij het onwaarschijnlijk is dat het lek een risico voor betrokkenen inhoudt. Als het lek waarschijnlijk een hoog risico oplevert, moeten ook de betrokkenen zonder onredelijke vertraging worden geïnformeerd. De organisatie moet het incident, de gevolgen en de corrigerende maatregelen documenteren in een intern datalekregister.
Is de AVG van toepassing op papieren documenten
De AVG is van toepassing op alle verwerking van persoonsgegevens, inclusief gestructureerde papieren dossiers (mappen geordend op naam, klantnummer of datum). Fysieke archieven zijn onderworpen aan dezelfde bewaar-, toegangs- en vernietigingsregels als digitale documenten. Vernietiging moet plaatsvinden door kruisgeknipte versnippering conform DIN 66399 (minimaal niveau P-4).
Mag een organisatie een kopie van een identiteitsbewijs eisen
De AP stelt dat organisaties alleen een kopie van een identiteitsbewijs mogen vragen als daarvoor een wettelijke grondslag bestaat (zoals de Wwft voor financiële instellingen). In alle andere gevallen moet de organisatie volstaan met het noteren van de noodzakelijke gegevens of het tonen van het identiteitsbewijs zonder kopie. De AP adviseert betrokkenen om bij het verstrekken van een kopie de KopieID-app te gebruiken om onnodige gegevens (BSN, pasfoto) door te strepen.
Een AVG-conform documentbeheer opzetten
AVG-conform documentbeheer is geen eenmalig project maar een continu proces. Begin met een audit van uw huidige documentverwerkingen, stel bewaartermijnen vast die aansluiten bij de Nederlandse wetgeving en AP-richtlijnen, en implementeer technische maatregelen die evenredig zijn aan de risico's uit uw DPIA.
Voor een compleet overzicht van documentcompliance voorbij de AVG, lees onze complete gids documentcompliance. Heeft u specifieke vragen over het AVG-conform maken van uw documentprocessen, neem dan contact met ons op. Bekijk ook al onze artikelen over compliance en gegevensbescherming op ons blog.