HomeHr Software › Personeelsdossier digitaliseren: AVG-proof stappenplan

Personeelsdossier digitaliseren: AVG-proof stappenplan

23-03-2026 12 min leestijd Lars de Vries
Topkeuze 2026
Personio
Vanaf €3.00/mnd
Bekijk Personio
Inhoudsopgave

Een klant van mij — een installatiebedrijf met 15 medewerkers — had zijn personeelsdossiers verspreid over drie ordners in twee verschillende kasten, plus een plastic zak op het bureau van de eigenaar. Niet ideaal, maar het werkte. Tot een medewerker zijn recht op inzage uitoefende onder de AVG.

Die medewerker had daar wettelijk alle recht toe. En mijn klant had 30 dagen om alle persoonsgegevens te leveren. Wat volgde was twee dagen rommelen door ordners, het terugvinden van post-its met aantekeningen die eigenlijk nooit bedoeld waren om bewaard te blijven, en een handgeschreven verloflijst van vier jaar geleden. Uiteindelijk lukte het, maar het scheelde niet veel.

Dat was het moment dat hij besloot om zijn personeelsdossiers te digitaliseren. En eerlijk gezegd: hij had er al jaren geleden mee moeten beginnen.

Waarom personeelsdossiers digitaliseren?

De meeste mkb-ondernemers digitaliseren pas als ze er een keer tegenaan lopen. Dat snap ik. Maar als je het zelf hebt meegemaakt — of als je de rekening ziet na een datalekmelding bij de AP — dan begrijp je direct waarom het de moeite waard is.

Tijdwinst. Een medewerker vraagt om zijn contract van drie jaar geleden. In een digitaal systeem: zoeken, vinden, klaar — 30 seconden. In een papieren ordner: 20 minuten zoeken, plus twijfel of je de juiste versie hebt.

AVG-compliance. De AVG verplicht je om persoonsgegevens beveiligd op te slaan, bewaartermijnen na te leven en toegang te beperken tot wie die gegevens echt nodig heeft. Met papieren dossiers is dat structureel lastig te handhaven. Met een digitaal systeem kun je rechten per gebruiker instellen en zie je in een logboek wie wanneer welk document heeft bekeken.

Beveiliging. Een ordner kun je niet versleutelen. Je kunt hem ook niet op afstand wissen als hij gestolen wordt. Digitale systemen wel.

Verlies voorkomen. Brand, wateroverlast, verhuizing — papier is kwetsbaar. Digitale bestanden met goede back-ups zijn dat niet.

Zie ook de HR-software sectorgids voor een overzicht van wat moderne HR-systemen doen.

Wat hoort er in een personeelsdossier?

Veel werkgevers bewaren te veel, en soms ook de verkeerde dingen. Een personeelsdossier mag alleen documenten bevatten die relevant zijn voor de arbeidsrelatie. Dit is wat er normaal gesproken in hoort:

  • Arbeidsovereenkomst (inclusief alle wijzigingen en bijlagen)
  • Kopie identiteitsbewijs (zie ook de FAQ hieronder over wanneer dit mag)
  • Loonbelastingverklaring
  • CV en sollicitatiebrief (maar: verwijder na 4 weken als iemand niet aangenomen wordt, of na indiensttreding als je ze niet meer nodig hebt)
  • Functieomschrijving
  • Beoordelingsgesprekken en functioneringsgesprekken
  • Afspraken over thuiswerken, leaseauto, pensioen
  • Salarisontwikkeling
  • Verlof- en compensatieverlofregistratie
  • Opleidingen en certificaten
  • Waarschuwingsbrieven of disciplinaire maatregelen
  • Ontslagdossier (inclusief correspondentie, vaststellingsovereenkomst)

Wat er niet in mag:

  • Medische diagnoses of informatie over ziektes — dat is voorbehouden aan de bedrijfsarts
  • Gegevens over vakbondslidmaatschap, politieke voorkeur of religie
  • Willekeurige aantekeningen of privé-observaties die niet relevant zijn voor de functie

AVG-eisen voor personeelsdossiers

De AVG (Algemene Verordening Gegevensbescherming) is de Nederlandse vertaling van de Europese GDPR. Voor personeelsdossiers zijn een paar principes direct relevant.

Grondslag. Je hebt een wettelijke grondslag nodig om persoonsgegevens te verwerken. Voor het merendeel van een personeelsdossier is dat “uitvoering van de arbeidsovereenkomst” of een wettelijke verplichting (zoals de loonheffing). Toestemming van de medewerker is géén goede grondslag voor arbeidsrelaties — die is per definitie niet vrij gegeven.

Minimale gegevensverwerking. Bewaar alleen wat je echt nodig hebt. Als je iets niet kunt rechtvaardigen, moet het weg.

Toegangsbeperking. Niet iedereen in je bedrijf hoeft toegang te hebben tot alle personeelsgegevens. De salarisadministrateur hoeft niet per se de beoordelingsverslagen te zien. Stel rollen in.

Rechten van betrokkenen. Medewerkers hebben het recht op inzage, correctie, en in sommige gevallen verwijdering. Zorg dat je hierop kunt reageren binnen 30 dagen.

Verwerkersovereenkomst. Als je een extern softwarepakket gebruikt dat personeelsdata verwerkt, moet je een verwerkersovereenkomst (DPA) hebben met die leverancier.

De Autoriteit Persoonsgegevens (AP) handhaaft dit actief. Boetes voor kleine bedrijven zijn zeldzaam maar niet onmogelijk — en een AP-onderzoek kost hoe dan ook tijd en juridische kosten.

Bewaartermijnen: wat mag je hoe lang bewaren?

Dit is waar het in de praktijk het vaakst misgaat. Veel werkgevers bewaren alles gewoon voor altijd. Dat is een AVG-overtreding.

De meest gehanteerde termijnen voor personeelsdossiers:

DocumentBewaartermijn na uitdiensttreding
Arbeidsovereenkomst, beoordelingen, correspondentie2 jaar
Salarisadministratie en loonstroken5 jaar (fiscale bewaarplicht)
Loonadministratie voor belastingdienst7 jaar
Kopie identiteitsbewijs (voor loonheffing)5 jaar na einde dienstverband
Re-integratiedossier (WIA)5 jaar na afloop re-integratie
Ontslagdocumenten (UWV-procedures)2 jaar, tenzij lopende rechtszaak
PensioenadministratieTot 7 jaar na pensioeningangsdatum

Twee jaar is de basisregel voor het meeste. Loongegevens bewaar je langer vanwege de Belastingdienst. En als er een juridisch geschil loopt, mag je bewaren totdat het afgerond is.

Zorg dat je softwaresysteem automatisch een signaal geeft als een bewaartermijn verloopt. Handmatig bijhouden werkt niet op de lange termijn.

Het stappenplan: digitaliseren in 5 stappen

Dit is hoe ik het bedrijven aanraad aan te pakken. Niet in één weekend, maar gefaseerd.

Stap 1: Inventariseer wat je hebt

Loop door alle ordners, lades en e-mailmappen. Maak een lijst per medewerker van welke documenten er zijn en welke ontbreken. Dit duurt bij 15 medewerkers al gauw een halve dag — dus plan het in.

Stap 2: Kies je systeem eerst

Begin niet met scannen voordat je weet waar je de bestanden opslaat. Een gedeelde map op Google Drive is niet voldoende (zie FAQ). Kies een HR-systeem dat documentbeheer ondersteunt. Meer hierover in het volgende hoofdstuk.

Stap 3: Scan en organiseer

Scan documenten op volgorde: actieve medewerkers eerst, dan uitgestroomde medewerkers waarvoor de termijn nog loopt. Gebruik een vaste naamgevingsconventie:

[achternaam]_[voornaam]_[documenttype]_[datum].pdf

Voorbeeld: devries_lars_arbeidsovereenkomst_2023-01-15.pdf

Stap 4: Stel toegangsrechten in

Bepaal wie welke documenten mag zien. Minimaal: HR-manager heeft toegang tot alles, directe leidinggevende heeft toegang tot beoordelingen en functieafspraken, salarisadministrateur heeft toegang tot loongegevens. Leidinggevenden hebben geen toegang tot medische informatie of ontslagdossiers van anderen.

Stap 5: Vernietig het papier

Dit is de stap die mensen het langst uitstellen. Toch is het nodig: je wilt niet dat gevoelige gegevens in een ordner blijven staan naast de gedigitaliseerde versie. Vernietig papieren dossiers via een gecertificeerde papierversnipperaar of een bedrijf als Shred-it. Bewaar een verklaring van vernietiging.

Welke software gebruik je hiervoor?

Niet elk HR-systeem heeft goed documentbeheer ingebouwd. Dit zijn de opties die ik in de praktijk tegenkom bij mkb-bedrijven:

HRMforce — Nederlandse HR-software met een volledig personeelsdossier per medewerker, inclusief verloopdatums voor documenten. Sterk op compliance en bewaartermijnen. Goed voor bedrijven die serieus werk willen maken van AVG.

Nmbrs — Populair bij accountants en salarisadministrateurs. Documentbeheer is aanwezig maar minder uitgebreid dan bij een dedicated HR-systeem. Goed als je toch al Nmbrs gebruikt voor de verloning.

Personio — Breed HR-platform dat ook documentopslag ondersteunt. Sterker in onboarding en performance management. Gebruikt door snelgroeiende bedrijven. Iets hogere drempel qua prijs en implementatie.

AFAS — Alles-in-één systeem voor grotere mkb. Personeelsdossiers zijn goed geregeld, maar de totale implementatie is zwaarder en duurder. Pas relevant vanaf zo’n 50 medewerkers.

Voor de meeste mkb-bedrijven met 5 tot 50 medewerkers is een combinatie van Personio of HRMforce voor HR-beheer plus een goed ingericht toegangsrecht het meest praktisch.

Lees de uitgebreide vergelijking van HR-software voor Nederland voor een volledige analyse per pakket.

Als je nog maar één of twee medewerkers hebt en net begint, lees dan eerst HR-software bij je eerste werknemer — dat is een ander startpunt.

Wil je ook je verzuimregistratie op orde krijgen? Dan is deze gids over verzuimregistratie en WvP-software een logische volgende stap.

Mijn advies: begin met wat je hebt

Je hoeft niet direct een volledig HR-systeem te implementeren om compliant te zijn. De eerste prioriteit is structuur aanbrengen in wat je al hebt.

Begin met actieve medewerkers. Maak voor elk een digitale map in een beveiligde omgeving — zelfs SharePoint met correcte rechten is beter dan niets. Stel bewaartermijnen in als reminder in je agenda of systeem. En teken verwerkersovereenkomsten met je softwareleveranciers als je dat nog niet gedaan hebt.

De klant met de drie ordners had dat met één middag werk al grotendeels op orde kunnen hebben. Het is echt geen groot project — je moet het alleen doen.

De AP doet steeds vaker onderzoeken op eigen initiatief, niet alleen naar aanleiding van klachten. Personeelsdossiers staan hoog op hun prioriteitenlijst voor werkgevers. Dat is geen reden om in paniek te raken, maar wel om het serieus te nemen.

Een volledig overzicht van alle HR-software vergelijkingen staat op de HR-software overzichtspagina. Als je ook actief aan de slag wil met ziekteverzuim terugdringen, lees dan ziekteverzuim terugdringen met HR-software voor een praktisch stappenplan.

Lees ook

Hoe je omgaat met inzageverzoeken van medewerkers

Elke medewerker heeft onder de AVG het recht om te weten welke persoonsgegevens je van hem bewaart. Hij kan schriftelijk een inzageverzoek indienen, en jij hebt dan 30 dagen om te reageren.

In de praktijk is dit het moment waarop slechte dossieradministratie zichtbaar wordt. Als je niet weet waar alle gegevens staan, kost het enorm veel tijd om de informatie bij elkaar te zoeken. Dat was precies het probleem bij dat installatiebedrijf met de drie ordners.

Een digitaal systeem maakt dit tot een vijf-minuten-klus. Je filtert op de medewerker in kwestie, exporteert alle documenten en stuurt ze op. Klaar.

Let wel op: een inzageverzoek vraagt om alle persoonsgegevens, niet alleen de documenten in het officiële personeelsdossier. Dat kan ook e-mails zijn, aantekeningen in je HR-systeem, informatie in je salarisadministratie, of vermeldingen in vergaderverslagen. Maak een checklist van alle systemen en plekken waar medewerkersinformatie kan staan, zodat je bij een inzageverzoek niets vergeet.

Hoe je omgaat met een verzoek tot verwijdering

Naast inzage heeft een medewerker in bepaalde gevallen ook het recht om verwijdering te vragen van zijn persoonsgegevens. Dat recht is niet absoluut: als er een wettelijke verplichting bestaat om de data te bewaren — denk aan loongegevens voor de Belastingdienst — mag je dat weigeren.

In de praktijk komt dit het meest voor bij oud-medewerkers. Na het verstrijken van de wettelijke bewaartermijn (zie de tabel eerder in dit artikel) ben je zelfs verplicht om de gegevens te verwijderen, ook zonder een verwijderingsverzoek.

Zorg dat je systeem je hieraan herinnert. Zet een jaarlijkse reminder in je agenda of gebruik de automatische waarschuwingsfunctie van je HR-software om te controleren welke dossiers van oud-medewerkers hun bewaartermijn hebben bereikt.

Documenteer ook dat je de verwijdering hebt uitgevoerd. Dat klinkt paradoxaal — je bewaart een bevestiging van verwijdering — maar het is de enige manier om bij een AP-onderzoek aan te tonen dat je de bewaartermijnen serieus neemt.

De verwerkersovereenkomst: hoe je die snel regelt

Als je een HR-softwarepakket gebruikt dat je persoonsgegevens opslaat, ben je wettelijk verplicht een verwerkersovereenkomst te sluiten met die leverancier. Dit is een contract waarin de leverancier bevestigt dat hij de data alleen verwerkt voor de doelen die jij hebt opgedragen en dat hij passende beveiligingsmaatregelen heeft getroffen.

In de praktijk is dit bij professionele HR-softwareleveranciers eenvoudig geregeld. Platforms als Personio, AFAS, HRMforce en Nmbrs bieden een standaard DPA (Data Processing Agreement) aan via hun accountomgeving. Je klikt akkoord en de overeenkomst is gesloten. Sommige leveranciers sturen hem automatisch bij het afsluiten van een abonnement.

Wat je niet moet doen: aannemen dat de DPA automatisch is geregeld zonder te controleren. Ik zie bij audits regelmatig dat bedrijven al twee jaar werken met een softwareleverancier zonder dat er ooit een DPA is ondertekend. Dat is een AVG-overtreding, ook al heeft de leverancier geen kwade bedoelingen.

Maak een lijstje van alle softwareleveranciers die medewerkersinformatie verwerken: HR-software, salarisadministratie, e-mailprogramma’s, projectmanagementsystemen. Controleer per leverancier of er een DPA is en bewaar een kopie. Gebruik een eenvoudig overzichtsbestand — een spreadsheet met de naam van de leverancier, datum ondertekening en een link naar de DPA — zodat je bij een AP-onderzoek in twee minuten kunt aantonen dat je dit op orde hebt. Dat overzicht bijwerken kost je eens per jaar een kwartier.

Wat het kost om digitalisering uit te stellen

De meest gehoorde reden om personeelsdossiers niet te digitaliseren is tijd: “we zijn te druk” of “het is nu geen prioriteit”. Ik begrijp die redenering, maar de kosten van uitstellen zijn vaak hoger dan de investering.

Een inzageverzoek van een medewerker die je niet binnen 30 dagen kunt beantwoorden is een AP-overtreding. Een medewerker die dat meldt bij de AP kan een onderzoek in gang zetten. Zelfs als er geen boete volgt, kost een AP-onderzoek je tientallen uren aan correspondentie en juridisch advies.

Een datalek waarbij papieren personeelsdossiers worden gestolen of verloren gaan, moet binnen 72 uur worden gemeld bij de AP. Als je niet precies weet wat er in die dossiers zat, kun je die melding niet correct doen — wat de situatie juridisch ingewikkelder maakt.

Een medewerker die zijn contract van vijf jaar geleden niet meer kan vinden en claimt dat er andere afspraken zijn gemaakt: zonder digitaal dossier met versiebeheer is dit een arbeidsrechtelijk risico.

De tijdsinvestering voor een basale digitalisering bij een bedrijf met 10 medewerkers is realistisch één tot twee werkdagen. Dat is minder dan de tijd die één juridisch geschil over dossierinhoud kost.

Gebruik de HR-software keuzehulp om te zien welk systeem past bij jouw organisatie. Bereken ook de HR-software kosten voor jouw bedrijfsgrootte om te zien wat een goed HR-systeem je per maand kost.

Drie praktische stappen om morgen te beginnen

Veel ondernemers weten dat ze aan de slag moeten met hun personeelsdossiers, maar weten niet waar ze beginnen. Dit zijn drie concrete stappen die je morgen kunt zetten, zonder dat je een groot project hoeft te starten.

Stap 1: maak een inventaris van wat je hebt. Ga na hoeveel papieren dossiers je hebt, waar ze liggen, en of er ook digitale bestanden zijn (e-mails, PDF-bestanden, scan-mappen). Dit duurt voor de meeste MKB-bedrijven een uur en geeft je een helder startpunt.

Stap 2: start een proefperiode bij één HR-softwareleverancier. Kies een systeem dat speciaal geschikt is voor jouw bedrijfsgrootte — voor vijf tot vijftien medewerkers zijn Personio Starter of HR Manager goede opties. Voer twee of drie dossiers handmatig in tijdens de proefperiode. Zo leer je de software kennen én heb je direct resultaat.

Stap 3: stel de bewaartermijnen in voor de meest gevoelige documenten. Arbeidscontracten en loonstroken staan bovenaan. Stel een herinnering in voor het jaar van uitdiensttreding plus twee jaar (voor contracten) of zeven jaar (voor financiële documenten). De meeste HR-platformen ondersteunen dit met automatische archiveringswaarschuwingen.

Drie stappen, realistische tijdsinvestering van een halve dag. Na die halve dag sta je er een stuk beter voor dan 80% van de vergelijkbare MKB-bedrijven in Nederland. Plan die halve dag bewust in — wie het als tussentijds klusje beschouwt, stelt het steeds uit. Blokkeer een ochtend in je agenda, sluit je deur en werk het door. Het resultaat is direct merkbaar: je vindt documenten sneller, je bent compliant, en je hebt een zorg minder.

Lees ook

Tags: hr-softwaremkb

Veelgestelde Vragen

Hoe hoog is de maximale boete voor een AVG-overtreding?

De Autoriteit Persoonsgegevens kan boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet — whichever is higher. Voor een mkb-bedrijf met €2 miljoen omzet is dat €80.000. In de praktijk krijgen kleinere bedrijven lagere boetes, maar ook een 'waarschuwing met verbeteropdracht' kost je veel tijd en stress.

Mag je een kopie van een identiteitsbewijs bewaren in het personeelsdossier?

Ja, maar alleen in specifieke gevallen: bij de identiteitscontrole voor de loonheffing (verplicht bij indiensttreding) en voor de Wet toelating tewerkstelling vreemdelingen. Je mag het BSN en paspoortnummer niet zomaar bewaren voor andere doeleinden. De kopie moet na controle worden vernietigd, of je bewaart alleen een geanonimiseerde versie met afgedekte gegevens die je niet nodig hebt.

Hoe lang mag je ziekteverzuimgegevens bewaren?

Dat hangt af van wat je precies bijhoudt. De eerste en laatste ziektedag plus het verzuimpercentage mag je 2 jaar bewaren na uitdiensttreding — niet langer. Diagnose-informatie en medische gegevens mag je als werkgever in principe helemaal niet bewaren; dat is voorbehouden aan de bedrijfsarts. Re-integratiedossiers (WIA-aanvraag) bewaar je tot 5 jaar na afloop.

Is cloudopslag AVG-proof voor personeelsdossiers?

Ja, mits de aanbieder een verwerkersovereenkomst (DPA) aanbiedt en de servers binnen de EER staan, of de aanbieder gecertificeerd is onder het EU-US Data Privacy Framework. Bekende aanbieders zoals Personio, AFAS en Nmbrs voldoen hieraan. Controleer altijd of de DPA is ondertekend en waar de data fysiek staat. Google Drive of Dropbox zonder DPA is niet voldoende.

Populairste keuze uit deze vergelijking
Personio vanaf €3.00/mnd
Sluit je aan bij duizenden Nederlandse bedrijven
Ga naar Personio
LV
Geschreven door
Lars de Vries
B2B software consultant en oprichter van Bedrijfssoftwaregids.nl. Lars test zakelijke software hands-on en helpt Nederlandse ondernemers de juiste keuze te maken.

Gerelateerde Artikelen

Hr Software Beste ATS-Software Nederland 2026: Top 5 21 min leestijd
Hr Software Beste Salarisadministratie Software MKB 2026 21 min leestijd
Hr Software Factorial Review 2026: HR Software voor MKB 15 min leestijd
Hr Software HoorayHR Review 2026: HR Software voor NL MKB 18 min leestijd
#1 Personio €3.00/mnd
Bekijk nu →

Nog niet gevonden wat je zoekt?

Gebruik de gratis keuzehulp en ontdek welke software het beste bij jouw bedrijf past.

Doe de keuzehulp