Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

Een lezer vroeg me:

Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren?

De AVG stelt als een van haar beginselen dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor je ze inzet. Er is dus eigenlijk geen bewaarplicht maar een vernietigplicht-tenzij. Motiveer maar waarom deze mail nog niet door de shredder is, anders mag ie per direct alsnog weg.

De vraag hoe lang je een bepaalde soort persoonsgegevens nodig hebt, is niet in algemene zin te beantwoorden. Al helemaal niet bij mail. Sommige mails kunnen eigenlijk direct weg (“wat was je 06 ook weer”), andere mails wil je langer bewaren (“top werk dit, niets op aan te merken”) en weer andere mails móet je bewaren (“hierbij ga ik akkoord met uw offerte”).

Ik durf de stelling dan ook wel aan dat wie het heeft over “bewaartermijnen van e-mail” zijn zaakjes niet goed op orde heeft. E-mail is geen aparte categorie verwerkingen, het is een middel om persoonsgegevens te transporteren. Daar boven onderscheid je pas die categorieën: kattebelletjes, memo’s, informatieve berichten, formele dossiercorrespondentie, rechtshandelingen, verzin ze maar. En voor díe categorieën kun je bewaartermijnen (oké, wistermijnen) vaststellen.

Het ingewikkelde is denk ik vooral dat de meeste mensen dat onderscheid in soorten mails niet maken. E-mail is je inbox, en wie ouderwets is heeft er nog mapjes onder zitten. En daar zitten de offertes, aansprakelijkheidsstellingen, complimentjes en gebabbel gewoon gezellig naast elkaar. Vanuit dat perspectief wil je alle mails dus als één categorie behandelen natuurlijk. Maar ik denk dat dat niet kan.

Vanuit AVG oogpunt is het denk ik onvermijdelijk om voor zakelijke mails over te stappen naar een CRM systeem, waarbij je mails koppelt aan categorieën. Offerte, aanvaarding, factuur, dispuut, en ga zo maar door. Voor die categorieën kun je dan bewaartermijnen bepalen.

De enige uitweg die ik kan bedenken, is dat je een relatief korte bewaartermijn kiest die voor alle soorten mails die je hebt, redelijk is. Dan zeg je, voor het werkproces e-mail geldt een bewaartermijn van zeg zes maanden omdat we zo operationeel nu eenmaal werken en dit niet anders kan zonder enorme kosten. Het is te ingewikkeld voor ons om dan per klant of per mail terug te gaan en dingen te wissen. Daarom wissen we álle mail na zes maanden, en echt belangrijke zaken bewaren we geselecteerd in een apart klantdossier of archief.

Wie denkt dat hij met meer dan zes maanden wegkomt, ik hoor het graag.

Arnoud

34 reacties

  1. Tja, ik vind persoonlijk 6 maanden wel erg krap. Ik vind het best wel een gerechtvaardigd belang om gegevens langer te bewaren, aangezien wij toch best vaak nog een vraag doorkrijgen over een bepaald product. Het is best handig dat wij nog kunnen zien dat iemand in 2016 of zelfs in 2015 of 2014 een bepaald product hebben besteld (per mail) waarover ze nu een klacht indienen. Als dit met zes maanden verwijderd zou worden, hadden we toch best vaak geen poot om op te staan.

    Wel moet ik eerlijk zeggen dat wij niet heel veel persoonsgegevens via de mail verzenden. Het gaat meestal om prijsaanvragen, of technische vragen, of bestellingen. Het is toch best prettig om die nog terug te kunnen vinden na een jaar.

    1. Tja, het mailadres is een persoonsgegeven, dus elke mail bevat persoonsgegevens.

      Wat natuurlijk meteen de vraag oproept: hoe zit het met adresboeken, moet je die ook opschonen alla ‘ik heb hem al een jaar geen mail meer gestuurt, dus zijn mailadres moet uit mijn (zakelijke) adresboek’ ?

    2. ‘Het is best handig dat wij nog kunnen zien dat iemand in 2016 of zelfs in 2015 of 2014 een bepaald product hebben besteld (per mail) waarover ze nu een klacht indienen. Als dit met zes maanden verwijderd zou worden, hadden we toch best vaak geen poot om op te staan.’

      Huh? Je hebt toch een factuur aan die klant, en daar staat toch ook op welk product hij gekocht heeft. Bovendien, je draait de zaken om, als de klant niet kan zeggen welk product hij op welke datum gekocht heeft, heeft hij geen poot om op te staan, niet jij.

    1. 10 jaar bij eerste werkgever, nooit een mail weggegooid. 5 jaar bij tweede, nooit een mial weggegooid. 5 jaar bij derde werkgever, meeste mail weggeggooid.

      Ik bewaar tegenwoordig alleen nog maar de e-mails met antwoorden op vragen van de klanten en met afspraken en bevestigingen. Triviale zaken als ‘kunnen we deze week bellen?’ niet meer.

      Ik heb echter een aantal keren te maken gehad met klanten die mij na soms enkele jaren probeerden hun problemen in de schoenen te schuiven omdat ze indertijd ‘gedaan hadden wat ik zei ‘. Waarbij het feit dat ik nooit e-mail weggooide bijzonder goed uitkwam. Antwoorden en adviesen blijven dus gewoon permanent opgeslagen, er zijn in mijn vakgebied namelijk mensen nat gegaan op adviezen die ze meer dan 20 jaar geleden hebben gegeven. Als ik over 20 jaar nog aangesproken kan worden op wat ik nu zeg, dan heb ik over 20 jaar graag een volledig dossier!

  2. Voor kinderen die bij ons techniekles volgen bewaren wij gegevens tot 2 jaar nadat een kind voor het laatst bij ons is geweest. Het gaat dan om vrij algemene dingen als voornaam, soms achternaam, leeftijd, tel. nr. ouders, wanneer ze geweest zijn en soms wat ze gemaakt hebben. En als ouders ons via de mail benaderen ook mails.

    Kinderen (en ouders) vinden het bv. vaak leuk, om het er later nog eens over te hebben wanneer ze bv. voor het eerst waren, wanneer ze voor het laatst bij ons waren of wat ze allemaal al hebben gemaakt. Ik doe dat op de grondslag van dat het noodzakelijk is voor de opdracht o.i.d. We bieden extra kwaliteit doordat we kinderen goed kennen. Dat maakt het persoonlijker en dat vinden onze klantjes fijn. En dat kunnen we niet allemaal onthouden.

  3. Dan maakt iedereen een rule aan die alle maal na 180 dagen in een archief plaatst. We hebben het allemaal wel eens meegemaakt dat in dat jaren oude mailtje van de collega die al lang vertrokken is de oplossing van een groot probleem stond.

  4. Wie denkt dat hij met meer dan zes maanden wegkomt, ik hoor het graag.
    Overheid: archiefwet, Wob-verplichtingen etc.

    <a href=”https://www.digitaleoverheid.nl/nieuws/de-overheid-is-wettelijk-verplicht-om-e-mails-te-bewaren/>De overheid is wettelijk verplicht om e-mails te bewaren Archieven van de overheid.

    Punt is natuurlijk wel dat een formeel archief cf. Archiefwet of bv. de archiefuitzonderingen in de AVG iets anders is dan wat in de wandeling vaak met archief wordt bedoeld, nl. ‘niet wissen’, ‘kopietje op een andere harde schijf’, etc.

      1. Voor zakelijke doeleinden: bij langlopende projecten kan (zeker interne) e-mail best ook meer dan zes maanden na verzenden nog teruggezocht moeten worden.

        En ja, daar zou je ook kunnen zeggen: neem de relevante info dan maar over in een geformaliseerd systeem of oormerk zulke berichten. Dat zou echter onnodige bureaucratie opleveren.

        1. Er zijn op pensioengebied uitspraken geweest waarbij uitkwam dat de verjaringstermijn pas ging lopen op de pensioendatum, omdat de pensioengerechtigde toen pas inzicht had in zijn werkelijke pensioen en/of omdat het pensioen toen pas opeisbaar werd.

          Een verjaringstermijn van 5 of 20 jaar die potentieel pas gaat lopen als iemand 68 jaar is. Als je die persoon op zijn 20e een advies hebt gegeven kan hij daar dus 53 danwel 68 jaar later nog een zaak over beginnen. Ik vrees dat er nog wel wat partijen nat gaan omdat ze geen archief hebben dat zo ver terug gaat, maar een klant die iemand betaalt voor pensioenadvies kan dat natuurlijk prima bewaard hebben. Heb verschillende mensen gezien die alle brieven (veelal ongeopend!) bewaard hadden vanaf hun eerste toetreden tot een pensioenfonds.

          1. Eens, dat is een terecht punt bij mails in zakelijke dienstverlening. Claims kunnen héél lang na sluiten dossier nog langskomen, en mails zijn soms de enige manier om je rechtspositie te onderbouwen. Desondanks blijf ik erbij dat je dan die mails in het dossier moet doen dat vervolgens het archief in gaat, en niet gewoon maar alle mails bewaren onder het motto “misschien dat er ooit een claim komt waarbij ik een mail nodig heb om me te verweren”.

            1. Maar wat is dan een archief?

              Die mail blijft niet in mijn verzonden items of Inbox staan. Die gaan naar de archief map waarbinnen het op klant/dossier gearchiveerd is. Alleen is een archief met e-mail net zo makkelijk te raadplegen als de inbox, dit itt een papieren archief wat vaak extern is opgeslagen i.v.m. ruimte.

              1. Een archief is iets anders dan zomaar een locatie om iets op te slaan. Een archief kent waarborgen en staat onder archiefbeheer en de archiefbeheerder heeft een functiescheiding ten opzichte van de archiefvormer (die gene die de stukken aan de archiefbeheerder aanbiedt)

                1. Da’s een erg mooi verhaal, maar het is heel simpel, voor ons en heel veel andere kleinere bedrijven is een aparte archiefbeheerder simpelweg financieel niet haalbaar.

                  Wij zijn verantwoordelijk voor het aanmaken en beheren van onze eigen archieven. De backup strategie zorgt ervoor dat deze niet verloren gaat als we daar een fout bij maken.

                  Dat is iets wat mij in de hele AVG discussie erg stoort. De oplossing voor alles is ‘functie scheiding’ en de meeste antwoorden op vragen zijn simpelweg economisch niet haalbaar voor een klein bedrijf. Wij hebben i.v.m. AVG ook functiescheiding aan moeten brengen. Dat gaat zwaar ten koste van de slagkracht, omdat mensen veel minder flexibel inzetbaar zijn geworden en ik werk in een klein bedrijf.

                  Om het maar niet te hebben over de verloren tijd voor het maken van alle benodigde ‘papieren tijgers’.

                  Mijn vorige werkgever had ca. 5000 medewerkers, de AVG werd gewoon even een team mensen opgezet en niemand lag er wakker van en het werk waarmee geld wordt verdient had er geen last van.

                  Ik heb bij EU regels wel vaker het idee dat men alleen naar de grote jongens kijkt en de effecten op de kleintjes vergeet/niet belangrijk genoeg vindt.

              2. Ik weet niet of commerciële bedrijven een wettelijke verplichting hebben om analoge en digitale informatie archiefwaardig op te slaan (ze hebben in ieder geval verplichtingen over bewaren en vernietigen, maar ik weet niet of dat gewoon in een schoenendoos mag). Een overheidsinstelling maakt gebruik van zakensystemen, recordmanagementsystemen en e-depots. E-mails moeten daarbij opgeslagen worden in de zaak (natuurlijk alleen als er informatie in staat), die na het verlopen van de zaak begint aan de vernietigingstermijn. Op alle andere plekken (zoals je inbox) hoor je deze mail dan tijdig te verwijderen. Het zou verstandig zijn zo ook te werken in bedrijven.

  5. Ik mis nog een beetje het perspectief van de klant en het contract. Stel we hebben een (zeer) langlopend contract (zeg een levensverzekering) en voor het afwikkelen van het contract kan contact informatie op een later moment altijd nog van belang worden. Dan is de bewaarplicht toch (minstens) de lengte van het contract? Immers, je gaat toch geen informatie over een lopend contract weggooien?

    1. Maar als die informatie zo belangrijk is en je vastgelegd hebt dat je dat opslaat omdat {reden} dan laat je het toch niet vervolgens staan in een/meerdere ongestructureerde bakken (lees inboxen van de 34 mensen die er de afgelopen jaren aan gewerkt hebben) Dan moet je dat toch ook structureel opslaan, en dan hoef je de emails niet meer in de inboxen te laten staan want staat, met metadata, in de dossierbeheersoftware

      1. Franc, er is natuurlijk een verschil tussen ‘belangrijk voor een dossier’ en ‘potentieel belangrijk voor een eventueel toekomstig conflict’.

        Bijna iedere mail, zelfs een bevestiging van een afspraak, kan dat zijn.

        En er is best iets voor te zeggen (overzichtelijkheid van dossier en tijd/kosten om alles te koppelen aan een dossier) om dingen waarvan de kans op relevantie klein is, dan maar in een grote vergaarbak te bewaren en pas te gaan zoeken als het nodig is.

        1. In overheidsinstanties (of in ieder geval degene waar ik werk) is het gebruikelijk zaakgericht te werken. Je maakt dus een dossier aan over een bepaalde zaak en stopt daar alle relevante documenten in. Je hoeft natuurlijk niet het conceptbesluit te bewaren als het besluit is genomen, tenzij daar een goede reden voor is, dus die kun je later verwijderen uit het dossier, of er nooit instoppen. Een grote vergaarbak met “dingen die misschien ooit van pas komen” is zeer onverstandig, zeker met langlopende dossiers.

          Stel je hebt een dossier over een uitkering. De één kan een dossier opbouwen, terwijl hij maar 1 dag uitkering ontvangt, of zelfs bij de aanvraag blijft steken, terwijl de ander er zijn hele leven inzit. De tijd dat (een deel van) deze dossiers bewaard wordt is zeer verschillend, en losse flodders over deze dossiers kun je dan niet zomaar laten liggen in een vergaarbak, zeker gezien de bewaar- en vernietigingsplicht.

          Losse flodders, ook over het bevestigen van een afspraak, moet je beoordelen op de archiefwaardigheid. Het kan dan handig zijn een archivaris in dienst te hebben. Het kan ook handig zijn zoiets op te nemen in een verslag “Cliënt heeft afspraak bevestigd, maar is niet komen opdagen”, bijvoorbeeld. Tegelijkertijd is die bevestiging ook niet erg interessant als de cliënt wel komt opdagen, en kan dan al snel weg. Je maakt dan toch vaak een verslag van de afspraak.

  6. Als iemand een zakelijke informatie mail stuurt met daaronder een volledige set contactinformatie dan kan je de mail toch bewaren voor de termijn waar je contact met die persoon zou kunnen opnemen.

    De zakelijke informatie is geen persoonsgegeven en de contactinformatie is gegeven met het doel om contact te blijven houden Voor mail van leveranciers lijk me dat zo’n termijn om contact te blijven houden bijna oneindig is.

    Voor klanten lijkt me sowieso een termijn waarin ze ofwel klant zijn en eventueel nog de termijn waarop ze benaderd mogen worden voor commerciële informatie of voor onderhoud/informatie berichten tav de door hen afgenomen producten.

    Ik zie dus geen reden om dergelijke zakelijke mail na 6 maanden te schonen.

          1. Ja maar in ieder geval contactgegevens aangeboden door een leverancier mag je volgens mij best bewaren voor zolang je wilt. Leveranciers willen helemaal niet geschoond worden uit je contact gegevens.

            En klant contact gegevens mag je waarschijnlijk ook veel langer dan 6 maanden bewaren die het artikel noemt.

            Als je maar vastlegt wat je doet en waarom.

      1. In diezelfde e-mail met contactgegevens staan ook mijn advies, afspraken over wat wel en niet tot de opdracht behoort. Ik kan hier decennia later nog op aangesproken worden; in de praktijk zijn er zaken geweest over adviezen van 20 jaar geleden!

        Moet ik dan 5 jaar mail archief aflopen om de contactgegevens, die iedereen in zijn signature zet want handig, te verwijderen? Wie gaat dat betalen en wie gaat ondertussen mijn werk waarnemen? Ik heb wel wat beters te doen.

          1. Bedoel je dan dat we het e-mail archief na verloop van tijd niet niet toegankelijk moeten maken? Zoals elders al aangegeven kan een archief na 68 jaar nog nodig zijn. Momenteel zijn onze archief mappen gewoon toegankelijk in de mail client, het is gewoon een gedeelde map waar we een archief structuur onder hebben gemaakt.

  7. Arnoud maak aan het begin van het jaar soms voor voorspellingen van wat er het komende jaar voor bijzonders zal gebeuren.

    Ik zal er maar eens een maken: We zullen over niet al te lang rechtzaken krijgen waarin de bewijspositie van beide partijen volledig onevenwichtig is, omdat de ene partij zich netjes (misschien te netjes) aan de AVG heeft gehouden en bijna niets meer heeft en dus ook bijna niets kan bewijzen, en de andere partij zich bewijsbaar niet aan de AVG heeft gehouden, maar wel een goede bewijspositie in het conflict heeft.

    Rara, wat gaat de rechter dan besluiten…..?

    1. Dat lijkt me ook prima. Dan zit elk project of elke deal dus in een apart mapje, en na afsluiten ga je dat mapje vernietigen of archiveren zoals je bij projecten of deals in je verwerkingsregister had afgesproken. Ik denk dat mijn kritiek vooral gaat over het gebruik van Inbox als vergaarbak voor alles, inclusief de 30 jaar aan oude mail.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.