Als het om uw privé-e-mails gaat, kunt u zelf beslissen of u ze wilt bewaren of verwijderen. Maar als u een bedrijf runt, met name in een gereguleerdesector, kunnen de Britse wetgeving inzake gegevensbescherming en sectorale regelgeving u verplichten om bepaalde e-mails te bewaren. In dit artikel leggen we de basisprincipes van e-mailarchivering uit, schetsen we het Britse wettelijke kader en laten we u kennismaken met best practices om naleving te garanderen.

Wat is e-mailarchivering?

E-mailarchivering verwijst naar de systematische en veilige opslag van alle inkomende en uitgaande e-mailberichten, inclusief metagegevens en bijlagen. In tegenstelling tot gewone back-ups is archivering bedoeld voor langdurige bewaring en eenvoudige terugvinding, met name in gevallen waarin dit wettelijk of regelgevend vereist is.

Hoewel het naleven van de vereisten voor e-mailarchivering een sterke drijfveer is, biedt archivering ook praktische voordelen:

  • Vermindert de opslagbelasting op primaire e-mailservers, waardoor de prestaties worden verbeterd.
  • Biedt bescherming bij juridische geschillen, regelgevende audits of interne onderzoeken.
  • Maakt het mogelijk om per ongeluk verwijderde of verloren e-mailssnel terug te halen.
  • Ondersteunt noodherstel en continuïteitsplanning.

Voor wie gelden de vereisten voor e-mailarchivering en waarom?

Niet alle bedrijven zijn wettelijk verplicht om e-mails te archiveren. Veel Britse organisaties zijn hier echter wel toe verplicht vanwege:

  • De Britse AVG en de Data Protection Act 2018
  • Sectorspecifieke regelgeving
  • Beheer van juridische risico’s en geschillenbeslechting

E-mailarchivering is vooral belangrijk in gereguleerde sectoren zoals:

  • Financiën en verzekeringen
  • Gezondheidszorg
  • Juridische diensten
  • Overheid
  • Onderwijs en onderzoek

Als uw organisatie persoonsgegevens verwerkt, met klanten of patiënten werkt of aan audits onderworpen is, is het essentieel om e-mailberichten te bewaren en te beheren. Het niet archiveren van e-mails kan leiden tot boetes, juridische risico’s of reputatieschade.

Belangrijkste wettelijke kaders voor e-mailarchivering in het Verenigd Koninkrijk

De Britse AVG en de Data Protection Act 2018

De Britse algemene verordening gegevensbescherming (UK GDPR) en de Data Protection Act 2018 regelen hoe persoonsgegevens in het Verenigd Koninkrijk moeten worden verzameld, opgeslagen en verwerkt.

Op grond van deze wetten:

  • Individuen hebben het recht om toegang te krijgen tot hun persoonsgegevens (via Subject Access Requests, of SAR’s).
  • U moet binnen een maand op SAR’s reageren, met een verlenging tot twee maanden voor complexe gevallen.
  • Verzoeken zijn gratis, tenzij ze buitensporig of repetitief zijn.

Als persoonsgegevens in e-mails worden opgeslagen, moet u deze e-mails snel en veilig kunnen vinden en ophalen. Als u hieraan niet voldoet, kan dit leiden tot handhavingsmaatregelen door het Information Commissioner’s Office (ICO).

Wet op de vrijheid van informatie 2000 (FOIA)

Deze wet is van toepassing op overheidsinstanties en bepaalde door de overheid gefinancierde instanties. Ze geeft burgers het recht om informatie op te vragen, met inbegrip van e-mailcommunicatie.

  • Antwoorden moeten binnen 20 werkdagen worden gegeven
  • Als relevante informatie in e-mails is opgeslagen, moet deze opvraagbaar zijn
  • Niet-naleving kan leiden tot wettelijke sancties

Particuliere bedrijven vallen niet onder de FOIA, tenzij zij diensten verlenen namens overheidsinstanties.

Sectorspecifieke regelgeving

Afhankelijk van uw sector kunnen aanvullende regels van toepassing zijn. Voorbeelden hiervan zijn:

  • Regels vande Financial Conduct Authority (FCA) voor administratie en audits
  • Richtlijnen vande Solicitors Regulation Authority (SRA) voor communicatie met cliënten
  • NHS-normen voor gegevensbewaring en naleving van de IG Toolkit
  • Beleid inzake veiligheid en gegevensbeveiliging in de onderwijssector

Bewaartermijnen variëren vaak per sector, maar liggen doorgaans tussen de 3 en 6 jaar.

Hoe u ervoor zorgt dat uw e-mailarchivering aan de regels voldoet

Om te voldoen aan de wettelijke en regelgevende verwachtingen in het Verenigd Koninkrijk, moeten bedrijven gestructureerde en veilige archiveringsprocessen implementeren. Dit houdt het volgende in:

Uw oplossing voor e-mailarchivering moet:

  • Wees veilig, met toegangscontrole en versleuteling
  • Zoekbaar zijn, zodat e-mails snel en nauwkeurig kunnen worden teruggevonden
  • Bewaar metadata, bijlagen en berichtcontext
  • Maak export in standaardformaten mogelijk (bijv. PST, PDF, EML)

U moet ook:

  • Weet waar uw e-mails worden opgeslagen (datacenters in het Verenigd Koninkrijk of datacenters die voldoen aan de AVG)
  • Definieer en documenteer uw bewaarbeleid (hoe lang e-mails worden bewaard, wat wordt verwijderd)
  • Train uw personeel om de procedures voor e-mailbeheer te volgen
  • Wijs een compliance officer of gegevensbeheerder aan als contactpersoon
  • Voer periodieke audits uit om de effectiviteit te controleren

Wat moet uw beleid voor e-mailarchivering omvatten?

Een duidelijk intern beleid zorgt voor een consistente en wettige afhandeling van e-mailcommunicatie. Het moet het volgende omvatten:

  • Het doel en de wettelijke basis voor e-mailarchivering
  • Toepassingsgebied: welke e-mails worden gearchiveerd en voor hoe lang
  • Opslaglocatie en gebruikte technologie
  • Toegangscontrole en zoekprocedures
  • Regels voor verwijdering (wanneer en hoe e-mails worden verwijderd)
  • Verantwoordelijkheden van het personeel en escalatieprocedures

Het hebben van een beleid helpt uw organisatie voor te bereiden op audits, geschillen of verzoeken om inzage.

Let op de juridische disclaimer voor dit artikel.

Ga naar hoofdmenu