2LRN4 security awareness platform
← Terug naar overzicht

Gegevens veilig vernietigen: papier, schijven en clouddata

Verwijderen is niet hetzelfde als vernietigen, en niet alle gegevens mag je zomaar weggooien. Hoe je papier, schijven en clouddata echt onleesbaar maakt, en hoe wettelijke bewaarplichten je termijn bepalen.

Privacy stopt niet bij het bewaren van gegevens; ook het einde telt. De AVG vraagt om opslagbeperking: bewaar gegevens niet langer dan nodig. Maar de AVG is niet de enige wet die meespeelt. Andere wetten kunnen je juist verplichten gegevens een minimale termijn te bewaren, soms jaren. Veilig vernietigen begint daarom met twee vragen: mag dit al weg, en zo ja, hoe maak ik het echt onleesbaar?

Waarom verwijderen niet genoeg is

Een bestand naar de prullenbak slepen verwijdert het niet echt: de gegevens blijven vaak op de schijf staan tot ze worden overschreven, en zijn met herstelsoftware terug te halen. Hetzelfde geldt voor een snelle formattering van een usb-stick.

Bij papier is het risico nog tastbaarder: een weggegooid document met klantgegevens in een papiercontainer is voor iedereen toegankelijk. Veilig vernietigen vraagt dus om een bewuste methode per soort gegevensdrager.

Mag het al weg? Niet alleen de AVG bepaalt de termijn

De AVG zegt: bewaar niet langer dan nodig. Maar andere wetten zeggen soms juist het tegenovergestelde, namelijk dat je bepaalde gegevens een minimumtermijn móét bewaren. Vernietig je te vroeg, dan overtreed je die wetten; bewaar je te lang zonder grond, dan overtreed je de AVG. Het gaat dus om de juiste balans, niet om zo snel mogelijk wissen.

In Nederland gelden onder meer deze bewaarplichten:

  • Fiscale bewaarplicht: de Belastingdienst eist dat je je administratie in de regel 7 jaar bewaart, en voor gegevens over onroerend goed 10 jaar.
  • Archiefwet: overheidsorganisaties moeten documenten volgens vastgestelde selectielijsten bewaren of juist op tijd vernietigen.
  • Medische gegevens (WGBO): dossiers in de zorg kennen een lange bewaartermijn, in beginsel 20 jaar.
  • Personeels- en sectorregels: arbeidscontracten, loonbelastinggegevens en branchespecifieke eisen kennen elk hun eigen termijn.

Papier: versnipperen, niet weggooien

Versnipper documenten met persoonsgegevens in plaats van ze in de gewone of zelfs de papierbak te gooien. Gebruik een cross-cut-versnipperaar, die het papier in kleine snippers knipt in plaats van lange repen.

Voor grotere hoeveelheden is een beveiligde vernietigingsdienst met certificaat een goede keuze. Die levert bewijs van vernietiging, wat handig is bij een audit.

Schijven en apparaten

Digitale dragers vragen om een methode die de gegevens echt onleesbaar maakt:

  • Veilig wissen (wiping): software die de schijf meerdere keren overschrijft, zodat herstel onmogelijk is.
  • Versleuteling vooraf: een versleutelde schijf wis je effectief door de sleutel te vernietigen.
  • Fysieke vernietiging: voor afgeschreven schijven; laat ze vergruizen of doorboren door een gecertificeerde dienst.
  • Vergeet randapparatuur niet: printers, kopieerapparaten en telefoons bewaren vaak ongemerkt data.

Clouddata en back-ups

In de cloud is "weg" niet altijd echt weg. Verwijderde bestanden belanden vaak eerst in een prullenbak, en kunnen nog in back-ups staan. Controleer hoe lang je leverancier verwijderde data en back-ups bewaart.

Leg in de verwerkersovereenkomst vast dat de leverancier gegevens definitief verwijdert na afloop van het contract. Vraag zo nodig om een bewijs van vernietiging.

Zo verwerk je dit in je awarenessprogramma

Vernietigen is gedrag én proces; je awarenessprogramma moet beide raken.

  • Combineer een korte module met praktische hulpmiddelen: een versnipperaar binnen handbereik, een inleverprocedure en een zichtbaar bewaarschema.
  • Maak het bewaarschema dat de AVG en de wettelijke bewaarplichten combineert zichtbaar, zodat mensen weten wanneer iets echt weg mag.
  • Neem 'veilig afvoeren van apparaten' op in je offboarding- en IT-processen.
  • Bied verdieping via onze cursuscatalogus.

FAQ

Mag ik gegevens altijd verwijderen zodra ik ze niet meer nodig heb?

Niet altijd. De AVG vraagt om niet langer bewaren dan nodig, maar andere wetten kunnen een minimumbewaartermijn opleggen. In Nederland gelden bijvoorbeeld de fiscale bewaarplicht (in de regel 7 jaar), de Archiefwet voor overheden en de WGBO voor medische dossiers. Vernietig daarom pas als geen enkele bewaarplicht meer geldt.

Welke wetten bepalen hoe lang ik gegevens moet bewaren?

Naast de AVG onder meer de fiscale wetgeving (Belastingdienst, in de regel 7 jaar, 10 jaar voor onroerend goed), de Archiefwet voor overheidsorganisaties, de WGBO voor zorgdossiers en diverse sector- en arbeidsrechtelijke regels. Stel daarom per soort gegevens een bewaarschema op.

Is een bestand in de prullenbak echt verwijderd?

Nee. De prullenbak legen verwijdert alleen de verwijzing; de gegevens blijven vaak op de schijf tot ze worden overschreven en zijn met herstelsoftware terug te halen. Gebruik veilig wissen of fysieke vernietiging voor gevoelige gegevens.

Hoe vernietig ik papier met persoonsgegevens?

Versnipper het met een cross-cut-versnipperaar in plaats van het in de papierbak te gooien. Voor grote hoeveelheden gebruik je een gecertificeerde vernietigingsdienst die een bewijs van vernietiging levert.

Wat doe ik met een oude werklaptop of telefoon?

Lever het in volgens de procedure van je organisatie. De schijf moet veilig gewist of fysiek vernietigd worden, en denk ook aan simkaarten en geheugenkaarten. Reset alleen is bij gevoelige gegevens niet altijd genoeg.

Is clouddata na verwijderen echt weg?

Niet altijd direct. Verwijderde bestanden staan vaak nog in een prullenbak en in back-ups. Controleer de bewaartermijnen van je leverancier en leg in de verwerkersovereenkomst vast dat data na het contract definitief wordt verwijderd.

Wil je hulp bij implementatie?

Plan een korte demo of bespreek jouw use case. We reageren snel.

Plan een demo Bekijk support