Bewaarplicht: De Nederlandse Bewaarplicht
In Nederland staat de fiscale documentbewaarplicht bekend als bewaarplicht — letterlijk 'bewaarplicht'. Onder het Nederlandse belastingrecht zijn bedrijven verplicht alle documenten die relevant zijn voor hun fiscale positie minimaal zeven jaar te bewaren vanaf het einde van het boekjaar waarop ze betrekking hebben. Dit omvat uitgegeven en ontvangen facturen, bankafschriften, contracten, salarisadministratie en alle andere documentatie die de cijfers in belastingaangiften onderbouwt.
De Belastingdienst kan elk jaar binnen het bewaarvenster controleren. Voor de meeste bedrijven betekent dit het bijhouden van toegankelijke, doorzoekbare archieven die te allen tijde zeven jaar teruggaan. Wanneer het kalenderjaar overgaat naar een nieuw jaar, valt het oudste jaar uit het bewaarvenster en kunnen die documenten worden vernietigd — maar alleen dat jaar, niet recentere jaren.
Vastgoed: 10 Jaar Bewaring
Voor documenten gerelateerd aan vastgoedtransacties — koopovereenkomsten, huurcontracten, renovatiefacturen, vastgoedtaxaties en bijbehorende btw-documenten — verlengt de Nederlandse wet de bewaartermijn tot tien jaar. Deze langere termijn weerspiegelt de complexiteit en waarde van vastgoedtransacties en de grotere kans dat vragen over de btw-behandeling jaren na de transactie ontstaan.
Vastgoedondernemingen, bouwbedrijven, vastgoedbeleggers en elk bedrijf dat commercieel vastgoed bezit of huurt, moeten een aparte bewaardiscipline hanteren voor vastgoeddocumenten, en ervoor zorgen dat deze documenten het volledige decennium worden bewaard en niet per ongeluk worden vernietigd tijdens routinematig archiefbeheer.
GDPR/AVG-compliance in Archivering
De Algemene Verordening Gegevensbescherming (GDPR), in het Nederlands bekend als de AVG (Algemene Verordening Gegevensbescherming), is van toepassing op gearchiveerde bedrijfsdocumenten die persoonsgegevens bevatten. Facturen bevatten doorgaans klantnamen, adressen en soms aanvullende persoonlijke identificatiegegevens. Gearchiveerde contracten, correspondentie en HR-documenten bevatten nog meer persoonsgegevens.
De Autoriteit Persoonsgegevens (AP) handhaaft GDPR-compliance, ook in de archiveringscontext. De fundamentele GDPR-spanning in archivering is tussen het opslagbeperkingsprincipe — dat vereist dat persoonsgegevens niet langer worden bewaard dan noodzakelijk — en de bewaarplicht, die vereist dat documenten zeven of tien jaar worden bewaard. Nederlandse richtlijnen stellen over het algemeen dat fiscale bewaarverplichtingen een juridische basis vormen voor het bewaren van persoonsgegevens in facturen en contracten voor de vereiste periode, maar bedrijven moeten ervoor zorgen dat gearchiveerde gegevens niet worden gebruikt voor doeleinden die verder gaan dan de oorspronkelijke bewaarrechtvaardiging.
AP-handhaving van Privacy in Archieven
De AP heeft toenemende belangstelling getoond voor hoe bedrijven persoonsgegevens in langetermijnarchieven beheren. Handhavingsacties waren gericht op organisaties die persoonsgegevens langer bewaarden dan noodzakelijk, onvoldoende toegangscontroles op gearchiveerde gegevens implementeerden, of gearchiveerde persoonsgegevens gebruikten voor doeleinden (zoals marketing of profilering) die niet gerechtvaardigd waren door de oorspronkelijke bewaarbasis.
Voor bedrijven betekent dit dat archieven toegangsgecontroleerd moeten zijn: alleen personeel met een legitieme behoefte om specifieke gearchiveerde documenten te raadplegen, mag hiertoe in staat zijn. Brede, onbeperkte toegang tot meerjarige factuurarchieven is onverenigbaar met GDPR-principes. Rolgebaseerde toegangscontrole, met auditlogging van wie wat heeft geraadpleegd en wanneer, is de passende technische maatregel.
AI Act-vereisten vanaf Augustus 2025 en 2026
De EU AI Act begon in fasen van toepassing te worden vanaf augustus 2025, met aanvullende bepalingen die in 2026 van kracht worden. Voor bedrijven die AI-systemen gebruiken bij documentverwerking, factuurclassificatie, gegevensextractie of geautomatiseerde compliancecontrole, creert de AI Act nieuwe documentatie- en archiveringsverplichtingen. Hoog-risico AI-systemen vereisen gedetailleerde technische documentatie, conformiteitsbeoordelingen en doorlopende monitoringgegevens die zelf moeten worden bewaard.
Bedrijven die AI-tools adopteren voor documentbeheer en archivering moeten ervoor zorgen dat de AI-systemen die ze gebruiken voldoen aan de toepasselijke AI Act-vereisten en dat de documentatieverplichtingen onder de AI Act zijn geintegreerd in hun algehele documentbeheerprogramma.
Hoe Arhivix Helpt
Arhivix is gebouwd om zowel de bewaar- als toegangscontrolevereisten van de Nederlandse bewaarplicht en GDPR/AVG tegelijkertijd te voldoen. Documenten worden opgeslagen op AWS S3 met configureerbare bewaarbeleiden die minimale bewaartermijnen afdwingen en tegelijkertijd documenten markeren die in aanmerking komen voor vernietiging onder GDPR-opslagbeperkingsprincipes.
AES-256-encryptie beschermt alle gearchiveerde persoonsgegevens tegen ongeautoriseerde toegang. Rolgebaseerde toegangscontroles beperken documenttoegang tot geautoriseerd personeel, en de Arhivix audit trail registreert elk toegangsevenement — waarmee de bewijsbasis wordt gecreeerd die nodig is om GDPR-conform archiefbeheer aan de AP te demonstreren indien vereist.
