Skip to content
Misvattingen calendar_today Bijgewerkt: 6 april 2026 schedule 4 min leestijd

Misvatting: GDPR Geldt Enkel voor Cloud Data

Veel bedrijven denken dat de GDPR alleen van toepassing is op digitale gegevens in de cloud. Maar de GDPR geldt voor alle persoonsgegevens, ook die op papier, in lokale systemen of in handgeschreven notities.

summarize Kernpunten
  • check_circle De GDPR geldt voor persoonsgegevens in elke vorm: digitaal, op papier, handgeschreven of mondeling vastgelegd
  • check_circle Papieren personeelsdossiers, klantfiches en handgeschreven afsprakenboeken vallen allemaal onder de GDPR
  • check_circle Lokale bestanden op je computer of server zijn net zo goed GDPR-relevant als data in de cloud
  • check_circle De vorm waarin je gegevens opslaat maakt niet uit, het gaat erom dat het persoonsgegevens zijn

De misvatting

“Wij gebruiken geen cloud, dus de GDPR is niet op ons van toepassing. Al onze gegevens staan lokaal.”

Of de variant: “Wij werken nog veel op papier, dus de GDPR geldt niet voor ons.”

Beide kloppen niet. De GDPR (in Nederland ook bekend als de AVG) maakt geen enkel onderscheid tussen de vorm waarin je persoonsgegevens opslaat. Cloud, lokale server, USB-stick, papieren dossier, of een handgeschreven notitieboekje: het maakt allemaal niet uit.

Waarom dit niet klopt

De GDPR definieert persoonsgegevens als “alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon.” Er staat nergens dat dit alleen geldt voor digitale gegevens, en al helemaal niet alleen voor gegevens in de cloud.

Artikel 2 van de GDPR stelt dat de verordening van toepassing is op de verwerking van persoonsgegevens die in een bestandssysteem zijn opgenomen of daarvoor bestemd zijn. Een bestandssysteem is elk gestructureerd geheel van gegevens dat volgens bepaalde criteria toegankelijk is. Dat is een ordner met alfabetisch gesorteerde klantfiches net zo goed als een database in de cloud.

Voorbeelden die je misschien over het hoofd ziet

Veel bedrijven beseffen niet hoeveel persoonsgegevens ze buiten de cloud verwerken:

Papieren dossiers

  • Personeelsmappen in de kast met contracten, loonstroken en ziekmeldingen
  • Klantendossiers met offertes, facturen en correspondentie
  • Bezoekerslogs bij de receptie waar gasten hun naam en bedrijf noteren
  • Handgeschreven afsprakenboeken bij kappers, tandartsen en therapeuten

Lokale digitale bestanden

  • Excel-bestanden met klantgegevens op je bureaublad
  • Outlook-contacten op je lokale computer
  • Facturen opgeslagen op een lokale server of NAS
  • Scans van identiteitsbewijzen opgeslagen op een gedeelde schijf

Fysieke media

  • USB-sticks met klantgegevens die in een lade liggen
  • Externe harde schijven met back-ups van personeelsdossiers
  • CD’s of DVD’s met oude administratie

Een echt voorbeeld

Een klein accountantskantoor werkt bewust zonder cloud. Alle klantdossiers staan op een lokale server, personeelsmappen liggen in ordners in de kast, en het afsprakenboek is een papieren agenda.

De eigenaar denkt dat de GDPR niet voor hem geldt, want “wij zitten niet in de cloud.”

In werkelijkheid verwerkt dit kantoor enorme hoeveelheden persoonsgegevens:

  • Financiele gegevens van honderden klanten en hun personeel
  • BSN-nummers, salarisgegevens en belastingaangiftes
  • Kopieën van identiteitsbewijzen
  • Bankrekening- en inkomensgegevens

Al deze gegevens vallen volledig onder de GDPR, ongeacht of ze op papier staan, op een lokale server of in de cloud. En omdat het deels om gevoelige financiele gegevens gaat, zijn de eisen aan beveiliging zelfs extra streng.

Wat de GDPR werkelijk van je vraagt

De GDPR maakt geen onderscheid op basis van opslagmedium. Voor alle persoonsgegevens die je verwerkt, moet je:

  1. Weten dat je ze hebt: neem papieren archieven en lokale bestanden mee in je verwerkingsregister
  2. Ze beveiligen: een afgesloten archiefkast is het papieren equivalent van wachtwoordbeveiliging. Maar denk ook aan brandbeveiliging en waterschade
  3. Ze niet langer bewaren dan nodig: ook papieren dossiers moeten worden vernietigd als de bewaartermijn verstreken is, bij voorkeur met een papiervernietiger
  4. Ze kunnen leveren op verzoek: als een betrokkene inzage vraagt, moet je ook je papieren dossiers kunnen doorzoeken
  5. Datalekken melden: een gestolen laptop, een verloren USB-stick of een dossiermap die per ongeluk bij het oud papier belandt, het zijn allemaal potentiele datalekken

Wat je nu kunt doen

Maak een ronde door je bedrijf met frisse ogen:

  • Open die archiefkast. Welke persoonsgegevens zitten erin?
  • Controleer de gedeelde schijven en lokale mappen. Staan er Excel-bestanden met klant- of personeelsgegevens?
  • Kijk in lades en kasten. Liggen er USB-sticks of externe schijven met data?
  • Neem alles wat je vindt op in je verwerkingsregister

De cloud is niet de grens van de GDPR. De grens is: verwerk je persoonsgegevens? Dan moet je je eraan houden, punt.

auto_awesome Wil je weten welke gegevens je verwerkt?

GDPRWise scant je website en brengt in kaart welke persoonsgegevens je verzamelt, met wie je ze deelt, en wat je nog moet regelen.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.