(Digitale) bewaarplicht van gegevens

Art. 2:10 BW schrijft voor: “Het bestuur is verplicht van de vermogenstoestand van de rechtspersoon en van alles betreffende de werkzaamheden van de rechtspersoon, naar de eisen die voortvloeien uit deze werkzaamheden, op zodanige wijze een administratie te voeren en de daartoe behorende boeken, bescheiden en andere gegevensdragers op zodanige wijze te bewaren, dat te allen tijde de rechten en verplichtingen van de rechtspersoon kunnen worden gekend.”

Deze plicht geldt niet alleen voor de NV en de BV, maar ook voor bijvoorbeeld stichtingen en verenigingen. Lid 3 van art. 2:10 BW bepaalt vervolgens: “Het bestuur is verplicht de in de leden 1 en 2 bedoelde boeken, bescheiden en andere gegevensdragers gedurende zeven jaren te bewaren.”

Art. 3:15i BW legt een vergelijkbare plicht op aan “een ieder die een bedrijf of zelfstandig een beroep uitoefent”.

De wet bepaalt dat deze bescheiden niet noodzakelijkerwijs fysiek bewaard dienen te blijven: “De op een gegevensdrager aangebrachte gegevens, uitgezonderd de op papier gestelde balans en staat van baten en lasten, kunnen op een andere gegevensdrager worden overgebracht en bewaard, mits de overbrenging geschiedt met juiste en volledige weergave der gegevens en deze gegevens gedurende de volledige bewaartijd beschikbaar zijn en binnen redelijke tijd leesbaar kunnen worden gemaakt.”

Kortom: een onderneming is verplicht gedurende zeven jaar na het aanmaken alle documenten relevant voor de bepaling van de vermogenstoestand van de onderneming te bewaren. Niet verplicht is om een fysieke versie van deze bescheiden te bewaren, behalve indien het gaat om de “balans en staat van baten en lasten”. Wel geldt als voorwaarde dat de digitale bestanden een “juiste en volledige weergave” van de gegevens zijn en dat “deze gegevens gedurende de volledige bewaartijd beschikbaar zijn”.

Art. 52 Algemene wet inzake rijksbelastingen (Awr) schrijft voor dat bepaalde onderdelen van de administratie zeven jaren, en in sommige gevallen tien jaren (namelijk bepaalde gegevens met betrekking tot onroerend goed) bewaard dienen te worden. Meer informatie omtrent deze bewaarplicht is te vinden op de website van de Belastingdienst.

De Belastingdienst hanteert als hoofdregel dat gegevens in de originele vorm bewaard dienen te worden. Niettemin is het omzetten van de originele (fysieke) versie naar een digitaal bestand toegestaan, maar slechts onder de volgende voorwaarden:

– Alle met elkaar verband houdende gegevens moeten volledig en inhoudelijk juist overgezet worden (lees: het moet gaan om een exacte en volledige kopie). Indien een document, bijvoorbeeld een factuur, met een digitale handtekening is ondertekend, moet ook deze digitale handtekening (en alle gegevens noodzakelijk om de authenticiteit hiervan vast te stellen), bewaard worden.
– De gegevensdrager met de digitale kopie moet tijdens de hele bewaartermijn beschikbaar zijn.
– De geconverteerde gegevens dienen binnen redelijke tijd te kunnen worden gereproduceerd en leesbaar worden gemaakt.
– Controle van de geconverteerde gegevens dient binnen redelijke tijd te kunnen worden uitgevoerd.
– Uitkomsten van een interne controle dienen bewaard te worden.

De Belastingdienst schrijft hier verder over:

“Het is vooral belangrijk dat u aandacht besteedt aan echtheidskenmerken (de authenticiteit van de herkomst en de integriteit van de inhoud). Bij conversie kunnen deze immers verloren gaan. Denk bijvoorbeeld aan het watermerk dat verloren gaat bij het scannen van een papieren document. In dit soort gevallen zullen de beheersingsmaatregelen in de organisatie samen met de geconverteerde gegevens (bijvoorbeeld de scan) de gewenste zekerheid moeten geven over de echtheid. Dat stelt relatief hoge eisen aan de beheersingsmaatregelen. […] Als u controleerbaar aan bovenstaande voorwaarden voldoet, hoeft u na een conversie de originele gegevens op basis van de fiscale bewaarplicht niet te bewaren. Alleen de balans en de resultatenrekening moet u altijd op papier bewaren.”

Voor een gedetailleerde uiteenzetting omtrent dit onderwerp verwijs ik naar een publicatie van de Belastingdienst.

Samenvattend kan gesteld worden dat zowel op grond van de algemene regels uit het BW als op grond van de belastingwetgeving, fysieke bestanden omgezet mogen worden naar digitale bestanden, waarbij de fysieke bestanden vervolgens vernietigd mogen worden. Wel geldt dat aan de voornoemde voorwaarden voldaan dient te worden en geldt tevens dat de balans en de resultatenrekening wel op papier bewaard dienen te blijven.

Het feit dat “de overheid” geen bezwaar heeft tegen digitale bestanden, betekent niet dat een rechter in een civiele procedure ook deze mening is toegedaan. In beginsel geldt in een civiele procedure “vrije bewijskracht”: de rechter bepaalt in hoeverre hij waarde toekent aan een bewijsstuk. De ervaring leert dat een rechter in bepaalde gevallen eerder geneigd is de authenticiteit van een “papieren stuk” aan te nemen dan van een (eenvoudig vervalsbaar) digitaal document. Vooral als het gaat om essentiële overeenkomsten is het derhalve raadzaam om de papieren versie “voor de zekerheid” te bewaren, dan wel gebruik te maken van bepaalde veilige vormen van een elektronische handtekening.

Indien maximale zekerheid het doel is, is het zelfs raadzaam de overeenkomsten tot (in bepaalde gevallen) 20 jaar na het verstrijken van de looptijd van de overeenkomst te bewaren. Dit in verband met de verjaringstermijn van eventuele aansprakelijkheden voortvloeiende uit die overeenkomst.

Tenslotte, waar het gaat om “persoonsgegevens” geldt een negatieve bewaarplicht. De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Indien persoonsgegevens derhalve niet langer noodzakelijk zijn, dienen deze verwijderd, dan wel geanonimiseerd te worden. Zie voor meer informatie een blog over dit onderwerp op deze website.

Voor meer informatie over dit onderwerp, kunt u contact opnemen met Natascha van Duuren, Advocaat / Partner IT, Privacy & Cybersecurity.