Voldoet jouw mailbox aan de AVG?

Dit is een gastbijdrage van ICTRecht.

Shredden of archiveren? Bij een binnengekomen brief is dat de meest voor de hand liggende vraag. Rondslingerende post is nou eenmaal onoverzichtelijk en zeker op zakelijk gebied niet de bedoeling. E-mails blijven daarentegen een stuk gemakkelijker in de inbox hangen. Toch vereist de privacywetgeving, Algemene verordening gegevensbescherming (AVG), dat er ook bij digitale post bewust wordt nagedacht over wat nou te doen met het e-mailbericht. Het e-mailadres alleen al kan een persoonsgegeven zijn, en de berichten zelf kunnen veel persoonsgegevens bevatten. Hoe zorg je ervoor dat jouw inbox aan de AVG voldoet, waar moet je op letten bij e-mailarchivering? Dat lees je in dit blog.

Welke wetten spelen een rol bij e-mailarchivering?

Allereerst hebben we te maken met de AVG. De inhoud van een e-mail kan veel informatie bevatten over een persoon. Van meer basic informatie zoals een naam of geboortedatum, tot gegevens over een arbeidscontract, ziekte en geldzaken.  Het spreekt voor zich dat het belangrijk is dat er zorgvuldig met persoonsgegevens omgegaan moet worden. Daarvoor is de AVG in het leven geroepen. Hierin zijn verschillende waarborgen opgenomen, waar iedereen die in aanraking komt met persoonsgegevens rekening mee moet houden. Zo moeten organisaties zich houden aan dataminimalisatie (zo min mogelijk persoonsgegevens verwerken om het doel te bereiken), de gegevens goed beveiligen en de persoonsgegevens niet langer bewaren dan noodzakelijk is. Hier komt e-mailarchivering om de hoek kijken. In dat kader dienen medewerkers een actieve houding aan te nemen om te voorkomen dat de inbox een vergaarbak wordt van allerlei informatie.

Nu is het niet zo dat je e-mails maar moet weggooien, omdat dat zogenaamd moet van de AVG. Soms is het zelfs wettelijk verplicht om e-mailberichten te bewaren. Zo geldt voor ondernemers op grond van de Algemene wet inzake rijksbelastingen de verplichting om de volledige administratie 7 jaar te bewaren in verband met een eventuele controle van de Belastingdienst. Voor gegevens met betrekking tot omzetbelasting kijk je in de Wet op de omzetbelasting. Maar ook in andere wetten staan relevante bewaartermijnen, bijvoorbeeld gegevens met betrekking tot loonbelasting en identiteitsbewijzen. Hiervoor staat een termijn van 5 jaar nadat de dienstbetrekking is geëindigd, aldus de Uitvoeringsregeling loonbelasting.

Voordat de AVG in werking trad in mei 2018, vonden we ook veel bewaartermijnen terug in het Vrijstellingsbesluit Wbp. Met de komst van de AVG is dit besluit komen te vervallen. Overigens blijft dit nog steeds een handige richtlijn om te kunnen bepalen wat een redelijke bewaartermijn is. Ook op de website van de Autoriteit Persoonsgegevens staan richtlijnen voor bewaartermijnen.

Zorg ervoor dat je goed op de hoogte bent van de wettelijke verplichtingen met betrekking tot bewaartermijnen. Wanneer er in je inbox dergelijke informatie staat, is het verstandig hiervoor een archief aan te maken en moet je actief controleren wanneer de termijnen uiteindelijk verstreken zijn. Voor alle overige zaken die niet onder een wettelijke plicht vallen geldt nog steeds: bewaar ze niet langer dan noodzakelijk.

Bewaartermijn versus bewaarplicht

Hoe lang je een e-mail mag bewaren staat niet in de AVG. Dit alles heeft tot gevolg dat organisaties zelf moeten bepalen hoe lang zij persoonsgegevens (in dit geval verwerkt in e-mails) bewaren, en hoe ze deze bewaren. Hierbij moet worden gekeken naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. En daar kunnen we gelukkig wat concreter over zijn. Sommige mails móet je namelijk voor een bepaalde periode bewaren. Denk bijvoorbeeld aan de fiscale bewaarplicht van 7 jaar. Voor andere e-mailberichten geldt weer dat het handig is om er een tijd op terug te kunnen vallen, zodat je kunt nalezen wat er is afgesproken met een zakelijke klant. Maar ongetwijfeld zullen er ook e-mailberichten zijn die je direct kunt verwijderen, bijvoorbeeld privéberichten die je met je zakelijke e-mail verstuurt.

De eerste stap is dat je als organisatie bepaalt welke informatie in welke categorie valt. Daarvoor is het van belang goed in de gaten te hebben welke e-mails bewaard moeten worden op grond van een wettelijke bepaling. Voor deze categorie geldt een bewaarplicht.

Waar moet een e-mailarchief aan voldoen?

Een e-mailarchief is ervoor bedoeld om berichten in te kunnen bewaren, maar uiteindelijk zullen berichten na verloop van tijd verwijderd moeten worden. Wanneer de bewaartermijn verstreken is, of de gegevens niet meer noodzakelijk zijn, dan moeten organisaties de gegevens vernietigen. Indien mogelijk kun je zelf per bericht de verwijderdatum aangeven.

Daarnaast speelt beveiliging een belangrijke rol. Dit geldt ook voor een e-mailarchief. In sommige gevallen kan het verstandig zijn om e-mailberichten te versleutelen. Zeker als je hier belangrijke documentatie in bewaart.

De praktijk

Uiteindelijk is het belangrijkste dat er binnen de organisatie een beleid ligt waarin duidelijk is opgenomen hoe lang je welke gegevens gaat bewaren. Op het moment dat er een e-mail binnenkomt, categoriseer je deze direct en indien nodig verplaats je de mail naar een archief. Vervolgens houd je de termijnen goed in de gaten. Uiteraard kan dit alles veel tijd kosten. Er zijn ook programma’s beschikbaar die je kunnen helpen bij het archiveren van je inbox. Voor sommige organisaties is dat een goede uitkomst. Al met al moet je in ieder geval altijd kunnen beargumenteren wáárom je e-mails zijn gearchiveerd en niet (al lang) door de shredder zijn gegooid!

Dit gastartikel werd geschreven door Beryl Hetharia.