Ga naar de inhoud
Oplossingen

GDPR-conform
Documentbeheer

Niet zomaar een GDPR-vinkje. Elke architecturale beslissing — waar data staat, hoe AI het verwerkt, hoe encryptie werkt — is genomen met de EU-wetgeving in gedachten. Omdat we een EU-bedrijf zijn en dit de enige manier is waarop we het zouden bouwen.

Laatst bijgewerkt: april 2026

Heb je echt een GDPR-conform DMS nodig?

  • Als je bedrijf documenten bewaart met persoonsgegevens — namen, adressen, financiële details, personeelsdossiers — is de GDPR op jou van toepassing. Het maakt niet uit of je 5 of 50.000 klanten hebt. In 2025 alleen al werd er voor € 1,145 miljard aan boetes opgelegd, en toezichthouders richten zich steeds vaker op het mkb, niet alleen op Big Tech.
  • Een GDPR-conform documentbeheersysteem maakt je niet automatisch compliant. Maar het neemt de technische barrières weg die compliance onmogelijk maken: weten welke data je hebt, deze vinden wanneer daarom wordt gevraagd, bepalen wie toegang heeft en deze verwijderen wanneer dat nodig is.
  • Kortom: Als je documenten met persoonsgegevens opslaat in Google Drive, Dropbox of een gedeelde NAS-map, heb je een GDPR-probleem waar je je misschien niet van bewust bent. Een specifiek gebouwd DMS met EU-hosting, encryptie en audit trails geeft je de technische basis die de verordening vereist.

De 7 GDPR-principes en wat ze betekenen voor documentbeheer

Artikel 5 van de GDPR definieert zeven principes die gelden voor alle verwerking van persoonsgegevens. Elk documentbeheersysteem dat je gebruikt moet deze principes ondersteunen — anders bouw je compliance op een fundament dat niet standhoudt. Dit is wat elk principe in de praktijk betekent wanneer je documenten met persoonsgegevens opslaat, organiseert en opvraagt.

Principe GDPR-artikel Implicatie voor documentbeheer
Rechtmatigheid, behoorlijkheid en transparantie Art. 5(1)(a) Je moet een wettelijke grondslag hebben voor het opslaan van elk document dat persoonsgegevens bevat. Je DMS moet duidelijk maken welke gegevens worden opgeslagen, waarom en hoe ze worden verwerkt — audit trails en activiteitenlogs dienen deze transparantie-eis.
Doelbinding Art. 5(1)(b) Documenten die voor één doel zijn verzameld (bijv. het uitvoeren van een contract) mogen niet voor een ander doel worden gebruikt zonder een nieuwe wettelijke grondslag. Je DMS mag de inhoud van documenten niet gebruiken voor ongerelateerde doeleinden — zoals het trainen van AI-modellen op jouw data.
Minimale gegevensverwerking Art. 5(1)(c) Sla alleen documenten op die toereikend, ter zake dienend en noodzakelijk zijn. Een DMS met full-text search en AI-classificatie helpt je overbodige of onnodige documenten te identificeren en te verwijderen — in plaats van alles te bewaren "voor het geval dat".
Juistheid Art. 5(1)(d) Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Wanneer een betrokkene verzoekt om rectificatie onder Art. 16, moet je elk document vinden dat hun verouderde informatie bevat. Full-text search in je hele archief maakt dit haalbaar.
Opslagbeperking Art. 5(1)(e) Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Dit vereist bewaartermijnen en de mogelijkheid om documenten te vinden en te verwijderen op datum, type en betrokkene. Zonder een DMS is het handhaven van bewaartermijnen in verspreide mappen praktisch onmogelijk.
Integriteit en vertrouwelijkheid Art. 5(1)(f) Documenten moeten worden beschermd tegen ongeoorloofde toegang, onopzettelijk verlies of vernietiging. Dit betekent encryptie bij opslag en tijdens transport, op rollen gebaseerde toegangscontrole en infrastructuurbeveiliging — niet alleen een wachtwoord op een gedeelde map.
Verantwoordingsplicht Art. 5(2) Je moet naleving kunnen aantonen — niet alleen beweren. Audit-trails die bijhouden wie welk document heeft ingezien, wanneer, en welke actie er is ondernomen, zijn essentieel. Als een toezichthoudende autoriteit om bewijs vraagt, is "we volgen best practices" geen afdoende antwoord.

Technische vereisten voor GDPR-conform documentbeheer

De GDPR schrijft geen specifieke technologieën voor — Artikel 32 vereist "passende technische en organisatorische maatregelen" op basis van de stand van de techniek, kosten en risico's. In de praktijk zijn voor documentbeheersystemen die persoonsgegevens verwerken, vier technische mogelijkheden de basis geworden die toezichthouders verwachten. Het gestandaardiseerde DPIA-sjabloon (v1.0) van de EDPB van maart 2026 versterkt dit door van verwerkingsverantwoordelijken te eisen dat zij precies deze maatregelen documenteren bij het beoordelen van het verwerkingsrisico.

Encryptie bij opslag en tijdens transport

Artikel 32(1)(a) noemt encryptie als een passende beveiligingsmaatregel. De industriestandaard is AES-256-encryptie bij opslag en TLS 1.2+ tijdens transport. Veluvanto gebruikt SSE-C (Server-Side Encryption with Customer-Provided Keys) voor data bij opslag en TLS voor alle data tijdens transport. Je documenten zijn versleuteld vanaf het moment dat ze je browser verlaten tot het moment dat ze worden opgeslagen — en de encryptiesleutels worden niet gedeeld met de infrastructuurprovider.

Toegangscontrole en authenticatie

Artikel 32(1)(b) vereist het vermogen om de vertrouwelijkheid van verwerkingssystemen te waarborgen. In de praktijk betekent dit op rollen gebaseerde toegangscontrole (RBAC): niet iedereen in je organisatie mag elk document zien. Veluvanto implementeert machtigingen op workspace-niveau met de rollen Admin, Editor en Viewer. Elke gebruiker authenticeert zich individueel — geen gedeelde logins, geen anonieme toegang. Elke actie is gekoppeld aan een geverifieerde identiteit.

Audit trails en verwerkingsregisters

Artikel 30 vereist dat verwerkingsverantwoordelijken een register van verwerkingsactiviteiten bijhouden. Voor documentbeheer vertaalt dit zich in het automatisch loggen van wie welk document heeft ingezien, wanneer en welke actie is uitgevoerd (bekijken, bewerken, downloaden, verwijderen). Veluvanto houdt activiteitenlogs per workspace bij die dienen als basis voor je Art. 30-register. Deze logs zijn niet bewerkbaar en kunnen niet worden verwijderd door workspace-leden.

Verwerkersovereenkomsten en subverwerkers

Artikel 28 vereist een verwerkersovereenkomst (DPA) met elke verwerker die namens jou persoonsgegevens verwerkt. Dit omvat je DMS-provider, hun cloudinfrastructuurprovider en eventuele AI-diensten die worden gebruikt voor documentverwerking. De AI-verwerking van Veluvanto maakt gebruik van de Gemini Enterprise API van Google onder een verwerkersovereenkomst zonder gegevensopslag (zero-retention) — je documenten worden in het geheugen verwerkt en onmiddellijk verwijderd. Ze worden nooit opgeslagen op de servers van Google en nooit gebruikt voor modeltraining.

Afhandeling van verzoeken van betrokkenen: een proces in 4 stappen

Onder de GDPR hebben individuen het recht op inzage in hun gegevens (Art. 15), rectificatie (Art. 16), gegevenswissing (Art. 17) en dataportabiliteit (Art. 20). Je moet binnen 30 dagen reageren. Voor bedrijven die afhankelijk zijn van e-mailarchieven, gedeelde schijven of papieren dossiers, kan zelfs het vinden van alle documenten die betrekking hebben op één persoon dagen duren. Een DMS met full-text search brengt dat terug tot minuten.

1

Identificeren: vind elk document met informatie over de betrokkene

Zoek op de naam, het e-mailadres of andere identificatoren van de betrokkene in je hele documentarchief. De full-text search van Veluvanto doorzoekt de inhoud van elk document — inclusief gescande PDF's die met OCR zijn verwerkt. Dit brengt facturen, contracten, correspondentie en elk ander document waarin de persoon wordt genoemd naar boven, ongeacht de bestandsnaam of maplocatie.

2

Beoordelen: bepaal wat moet worden verstrekt, bewaard of verwijderd

Niet elk document hoeft te worden verstrekt of verwijderd. Wettelijke verplichtingen (fiscale bewaarplicht, lopende contractuele verplichtingen) kunnen zwaarder wegen dan het recht op gegevenswissing onder Art. 17(3). Beoordeel de zoekresultaten en categoriseer ze: documenten die moeten worden verstrekt bij een inzageverzoek, documenten die moeten worden verwijderd bij een verzoek om gegevenswissing, en documenten die je wettelijk verplicht bent te bewaren. Documenteer je motivering — de verantwoordingsplicht onder Art. 5(2) vereist dit.

3

Actie ondernemen: exporteren, rectificeren of verwijderen — met een audit trail

Voor inzageverzoeken (Art. 15): exporteer de relevante documenten in een gangbaar formaat. De export van Veluvanto bevat de originele bestanden plus gestructureerde metadata. Voor rectificatie (Art. 16): werk de onjuiste documenten bij of vervang ze. Voor gegevenswissing (Art. 17): verwijder de geïdentificeerde documenten. Elke actie — export, bewerking, verwijdering — wordt gelogd in de activity trail van Veluvanto met tijdstempel en gebruikersidentiteit.

4

Bevestigen: reageer op de betrokkene en bewaar bewijs van compliance

Reageer binnen de termijn van 30 dagen op de betrokkene en bevestig welke actie je hebt ondernomen. Bewaar de audit trail-vermeldingen als bewijs dat je aan het verzoek hebt voldaan. Als een toezichthouder later een onderzoek instelt, moet je niet alleen kunnen aantonen dat je hebt gereageerd, maar ook hoe je hebt gezocht, wat je hebt gevonden en wat je ermee hebt gedaan. Het activiteitenlogboek dient als dat bewijs.

EU- vs. VS-hosting: juridische implicaties voor documentbeheer

De locatie van je documentbeheerservers is niet zomaar een technisch detail — het is een juridische beslissing met reële gevolgen. Onder de Amerikaanse CLOUD Act kunnen Amerikaanse autoriteiten elk bedrijf met een hoofdkantoor in de VS dwingen om gegevens over te dragen die op hun servers zijn opgeslagen, ongeacht waar die servers zich fysiek bevinden. Dit betekent dat het opslaan van documenten op Google Drive, Dropbox, OneDrive of Notion — allemaal Amerikaanse bedrijven — je gegevens blootstelt aan mogelijke toegang door de Amerikaanse overheid, zelfs als de servers in de EU staan. De Schrems II-uitspraak (HvJ-EU, juli 2020) verklaarde het EU-VS Privacy Shield precies om deze reden ongeldig: de Amerikaanse surveillancewetten werden onverenigbaar bevonden met de fundamentele rechten van de EU. Het in 2023 aangenomen EU-VS Data Privacy Framework biedt een nieuw adequaatheidsbesluit, maar juridische uitdagingen duren voort en de European Data Protection Board blijft aanvullende maatregelen aanbevelen voor elke gegevensoverdracht van de EU naar de VS.

Veluvanto neemt deze juridische complexiteit volledig weg. Als een Tsjechisch bedrijf dat is geregistreerd en opereert onder de EU-wetgeving, slaat Veluvanto alle gegevens uitsluitend op in EU-datacenters. Er is geen Amerikaans moederbedrijf, geen Amerikaanse dochteronderneming en geen bedrijfsstructuur die je gegevens zou onderwerpen aan de CLOUD Act. AI-verwerking maakt gebruik van de Gemini Enterprise API van Google onder een zero-retention overeenkomst — documenten worden in het geheugen in de EU verwerkt en onmiddellijk verwijderd. Er worden op geen enkel moment persoonsgegevens overgedragen naar of opgeslagen in de Verenigde Staten. Voor organisaties die GDPR-compliance moeten aantonen aan klanten, partners of toezichthouders, is EU-only hosting door een in de EU gevestigd bedrijf de meest heldere juridische positie die beschikbaar is.

GDPR-compliance checklist: hoe Veluvanto scoort

Transparantie schept vertrouwen. In plaats van algemene compliance te claimen, volgt hier een eerlijke beoordeling van hoe Veluvanto elke belangrijke GDPR-eis voor documentbeheer aanpakt. Waar we tekortkomingen hebben, zeggen we dat eerlijk.

Worden alle gegevens binnen de EU opgeslagen? — Ja. Alle documentopslag en back-ups bevinden zich in EU-datacenters. Er verlaten geen gegevens de EU. Veluvanto is een Tsjechisch bedrijf — geen Amerikaanse moederentiteit, geen blootstelling aan de CLOUD Act.
Zijn gegevens versleuteld bij opslag en tijdens transport? — Ja. SSE-C-encryptie (AES-256) bij opslag met door de klant verstrekte sleutels. TLS-encryptie voor alle gegevens tijdens transport. Encryptiesleutels worden niet gedeeld met de infrastructuurprovider.
Kunnen betrokkenen hun rechten uitoefenen (inzage, wissing, portabiliteit)? — Ja. Volledige data-export ondersteunt portabiliteit (Art. 20). Documentverwijdering met audit trail ondersteunt gegevenswissing (Art. 17). Full-text search maakt het mogelijk om alle gegevens met betrekking tot een specifiek individu te vinden voor inzageverzoeken (Art. 15).
Worden verwerkingsactiviteiten gelogd (Art. 30)? — Ja. Activiteitenlogs registreren wie welk document heeft ingezien, gewijzigd of verwijderd, inclusief tijdstempels. Deze logs zijn onveranderlijk en dienen als basis voor je register van verwerkingsactiviteiten.
Voldoet AI-verwerking aan de eisen voor gegevensbescherming? — Ja. AI maakt gebruik van de Google Gemini Enterprise API met een zero-retention overeenkomst. Documenten worden in het geheugen verwerkt en onmiddellijk verwijderd — nooit opgeslagen, gecachet of gebruikt voor modeltraining. Het systeem is ook ontworpen voor naleving van de EU AI Act.
Zijn er geautomatiseerde bewaar- en verwijderingsregels beschikbaar? — Nog niet. Veluvanto biedt momenteel geen geautomatiseerde bewaarschema's of op tijd gebaseerde verwijderingsregels. Je kunt documenten handmatig verwijderen en de zoekfunctie gebruiken om verlopen records te identificeren, maar geautomatiseerde handhaving van de opslagbeperking uit Art. 5(1)(e) staat op de roadmap en is nog niet beschikbaar.
Is Veluvanto ISO 27001 of SOC 2 gecertificeerd? — Nee. Veluvanto zelf is niet ISO 27001 of SOC 2 gecertificeerd. Onze infrastructuurprovider beschikt over een ISO 27001-certificering. We implementeren beveiligingsmaatregelen die consistent zijn met deze standaarden, maar hebben geen onafhankelijke certificering ondergaan. Als je organisatie certificering van leveranciers vereist, is dit een tekortkoming.
Biedt Veluvanto een sjabloon voor een verwerkersovereenkomst (DPA) aan? — Niet als self-service sjabloon. Een DPA die de verwerking van je gegevens door Veluvanto dekt, is op aanvraag beschikbaar. We bieden momenteel geen kant-en-klaar DPA-sjabloon voor je eigen verwerkingsrelaties met derden.

Wanneer Veluvanto niet de juiste keuze is voor GDPR-compliance

Veluvanto is een documentbeheersysteem voor freelancers, gezinnen en kleine bedrijven. Het biedt de technische basis voor GDPR-conform opslaan en opvragen van documenten. Maar het is geen compliance-platform voor grote ondernemingen, en er zijn scenario's waarin het niet volstaat.

Je verwerkt op grote schaal bijzondere categorieën persoonsgegevens (Art. 9) — Als je grote hoeveelheden medische dossiers, biometrische gegevens, genetische gegevens of gegevens over ras of etnische afkomst verwerkt, heb je een systeem nodig met toegangscontroles op medisch niveau, een specifieke audit-infrastructuur en waarschijnlijk sectorspecifieke certificeringen (bijv. ISO 27799 voor gezondheidsinformatica). De toegangscontroles van Veluvanto zijn op workspace-niveau, niet op veldniveau.
Je hebt geautomatiseerde bewaartermijnen met legal hold nodig — Als je compliance-programma vereist dat documenten automatisch worden verwijderd na een gedefinieerde bewaarperiode — met uitzonderingen voor legal hold tijdens rechtszaken — heb je records management software voor ondernemingen nodig (bijv. OpenText, M-Files). Veluvanto ondersteunt nog geen geautomatiseerde bewaartermijnen of legal hold-functionaliteit.
Je klanten of toezichthouders vereisen ISO 27001- of SOC 2-certificering — Sommige sectoren en inkoopprocessen van grote bedrijven vereisen dat leveranciers een ISO 27001- of SOC 2 Type II-certificering hebben. Veluvanto heeft deze certificeringen niet. Als dit een harde eis is in je selectieproces voor leveranciers, zal Veluvanto niet door je beveiligingsvragenlijst komen.

Eerlijk zijn over beperkingen is onderdeel van het opbouwen van vertrouwen. Als je behoeften groter zijn dan wat Veluvanto biedt, vertellen we dat liever vooraf dan dat je erachter komt nadat je je documenten hebt gemigreerd. Voor de meeste freelancers, gezinnen en kleine bedrijven biedt Veluvanto een sterke GDPR-conforme basis. Voor gereguleerde ondernemingen met complexe compliance-eisen zijn specifiek gebouwde enterprise-platforms de betere keuze.

Gerelateerde gidsen

Digitaal documenten archiveren

Bewaren, audit trails en langdurige opslag — hoe digitaal archiveren GDPR-compliance ondersteunt.

Documentbeheersoftware

Wat DMS-software doet, hoe je er een kiest en waarom AI alles verandert in 2026.

NIS2-richtlijn & documentbeheer

NIS2 en GDPR vertonen aanzienlijke overlap in documentatie — dit is wat de cybersecurity-richtlijn toevoegt.

Veelgestelde vragen

Waar worden mijn gegevens precies opgeslagen?
Alle gegevens worden opgeslagen in EU-datacenters die worden beheerd door in de EU gevestigde infrastructuurproviders. Back-ups worden opgeslagen bij een aparte EU-provider. Geen enkele data — documenten, metadata of AI-verwerkingsinputs — verlaat ooit de Europese Unie. Veluvanto is gevestigd in Tsjechië en heeft geen Amerikaans moederbedrijf of dochteronderneming.
Stuurt AI-verwerking mijn gegevens buiten de EU?
Nee. AI-verwerking maakt gebruik van de Gemini Enterprise API van Google onder een zero-retention verwerkersovereenkomst. Documenten worden in het geheugen verwerkt en onmiddellijk verwijderd — nooit opgeslagen op de servers van Google, nooit gecachet en nooit gebruikt voor modeltraining. De verwerking vindt plaats binnen de EU.
Kan ik al mijn gegevens exporteren als ik wegga?
Ja. Veluvanto ondersteunt volledige data-export onder Artikel 20 (recht op overdraagbaarheid van gegevens). Je ontvangt alle originele documenten in hun oorspronkelijke formaat plus gestructureerde metadata (tags, datums, geëxtraheerde entiteiten). Standaardformaten, geen vendor lock-in, geen contact met support nodig.
Is Veluvanto gecertificeerd (ISO 27001, SOC 2)?
Nee. Veluvanto zelf beschikt niet over een ISO 27001- of SOC 2-certificering. Onze infrastructuurprovider is ISO 27001-gecertificeerd. We implementeren beveiligingsmaatregelen die in lijn zijn met deze standaarden — encryptie bij opslag (SSE-C/AES-256), TLS tijdens transport, RBAC, onveranderlijke audit logs — maar hebben geen onafhankelijke certificering ondergaan. Als certificering van leveranciers een inkoopvereiste is voor je organisatie, zijn we daar transparant over.
Hoe verhoudt Veluvanto zich tot in de VS gehoste alternatieven wat betreft de GDPR?
In de VS gehoste diensten (Google Drive, Dropbox, Notion, Evernote) worden beheerd door Amerikaanse bedrijven die onder de CLOUD Act vallen, waardoor Amerikaanse autoriteiten toegang kunnen krijgen tot gegevens, ongeacht de serverlocatie. De Schrems II-uitspraak vond dit onverenigbaar met de fundamentele rechten van de EU. Veluvanto is een Tsjechisch bedrijf met gegevens uitsluitend in de EU — alleen de EU-wetgeving is van toepassing. Geen adequaatheidsbesluit, geen aanvullende maatregelen, geen juridische onzekerheid.
Wat gebeurt er in het geval van een datalek?
Onder Artikel 33 moeten verwerkingsverantwoordelijken hun toezichthoudende autoriteit binnen 72 uur na het ontdekken van een datalek op de hoogte stellen. De activiteitenlogs en toegangsgegevens van Veluvanto helpen je de omvang van een incident te beoordelen — welke documenten zijn getroffen, wie had toegang en wanneer. Als verwerker zal Veluvanto je zonder onnodige vertraging op de hoogte stellen als we kennis krijgen van een lek dat jouw gegevens treft, en de informatie verstrekken die je nodig hebt om aan je meldingsplicht te voldoen.
Moet ik een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren om Veluvanto te gebruiken?
Dat hangt af van de aard en het volume van de persoonsgegevens die je verwerkt. Onder Artikel 35 is een DPIA vereist wanneer een verwerking "waarschijnlijk een hoog risico" inhoudt voor de rechten van individuen — bijvoorbeeld bij systematische monitoring of grootschalige verwerking van gevoelige gegevens. Voor de meeste freelancers en kleine bedrijven die facturen, contracten en zakelijke correspondentie opslaan, is een DPIA niet vereist. De EDPB heeft in maart 2026 een gestandaardiseerd DPIA-sjabloon (v1.0) gepubliceerd, wat het proces vereenvoudigt als je er wel een nodig hebt.
Voldoet Veluvanto aan de EU AI Act?
De AI-functies van Veluvanto — documentclassificatie, metadata-extractie en de AI-assistent — zijn ontworpen met de EU AI Act in gedachten. Het AI-systeem is transparant (je kunt zien wat de AI heeft geëxtraheerd en dit wijzigen), neemt geen autonome beslissingen met juridische gevolgen en maakt gebruik van zero-retention verwerking, zodat je documenten nooit worden gebruikt voor modeltraining. AI-gebruik wordt gelogd en is controleerbaar.

Stop met zoeken naar documenten. Begin met ze te vinden.

Gratis te proberen. Geen creditcard nodig. Upgrade pas wanneer je er klaar voor bent.

Probeer gratis — geen kaart nodig Bekijk prijzen

🔒 EU-cloud · Geen creditcard · 14 dagen niet-goed-geld-terug-garantie