top of page

Bewaarplicht stopt niet bij uw boekhoudabonnement

  • Foto van schrijver: Ronald Blaak van de
    Ronald Blaak van de
  • 12 apr
  • 6 minuten om te lezen

Chapeau

Steeds meer facturen, loonstroken, urenregistraties en HR-documenten staan alleen nog in online boekhoud-, HR- en salarispakketten. Dat is efficiënt, maar niet risicoloos: als een pakket wordt afgesloten, een contract eindigt of een leverancier uitvalt, verdwijnt uw bewaarplicht niet mee. Volgens de Belastingdienst, het Handboek Loonheffingen, het NCSC en de AVG-regels moet u uw administratie zélf toegankelijk, controleerbaar en voldoende beveiligd houden.

Voor wie is dit relevant?

  • Ondernemers die hun administratie in een boekhoudpakket, HR-systeem of payrollportal bewaren

  • Werkgevers met digitale personeelsdossiers, loonstroken en urenadministratie

  • Finance-, payroll- en HR-managers die bewaartermijnen en dossiervorming moeten borgen

  • Organisaties die administratie of salarisverwerking (deels) hebben uitbesteed

  • Bedrijven die van softwareleverancier willen wisselen of contract- en continuïteitsrisico’s beter willen beheersen

In één oogopslag: wat verandert er?

  • De regels zelf zijn niet nieuw, maar ze gelden onverminderd voor digitale administratie en cloudpakketten. De Belastingdienst rekent ook software en databestanden tot de administratie, terwijl het NCSC benadrukt dat de afhankelijkheid van clouddiensten voor primaire processen toeneemt.

  • Basisgegevens van uw administratie bewaart u in beginsel 7 jaar. Gegevens over onroerende zaken en bepaalde OSS-gegevens bewaart u 10 jaar.

  • De loonadministratie is ook een basisgegeven en valt dus in beginsel onder de 7-jaars bewaarplicht. Voor bepaalde loongegevens, zoals opgaven voor de loonheffingen en kopieën van identiteitsbewijzen, geldt minimaal 5 kalenderjaren bewaartijd na uitdiensttreding.

  • Facturen bewaart u in de originele vorm waarin u ze ontving of verstuurde. Digitale facturen bewaart u dus digitaal. Scannen mag, maar alleen bij een juiste en volledige weergave, met behoud van relevante echtheidskenmerken.

  • De bewaarplicht geldt ook voor computerprogramma’s en bestanden. Alleen printjes bewaren is niet genoeg; de Belastingdienst moet uw programma’s en bestanden bij controle kunnen gebruiken.

  • Uitbesteden verplaatst werk, maar niet de eindverantwoordelijkheid. De Belastingdienst noemt online boekhouden, cloudoplossingen en loonservicebureaus expliciet, en adviseert afspraken over beheer, beschikbaarheid, verantwoordelijkheden en bewaarplicht, bijvoorbeeld in een SLA. Onder de AVG blijft u als verwerkingsverantwoordelijke ook verantwoordelijk als u een verwerker inschakelt.

  • Back-ups, hersteltesten en een exitplan zijn geen luxe. Het NCSC adviseert 3-2-1-back-ups, automatisering, periodieke hersteltesten en expliciete cloud-exitafspraken; de Autoriteit Persoonsgegevens noemt het tijdig kunnen herstellen van beschikbaarheid en toegang tot persoonsgegevens een passende beveiligingsmaatregel.

Wat betekent dit praktisch voor ondernemers/werkgevers?

De verantwoordelijkheid blijft bij u

Fiscaal is het uitgangspunt helder: laat u uw administratie of loonadministratie door derden verzorgen, dan vallen die gegevens daar óók onder de fiscale bewaarplicht. De Belastingdienst noemt daarbij expliciet een administratiekantoor, online internetboekhouden, cloudoplossingen en een loonservicebureau. De brochure adviseert daarom om afspraken te maken over beheer, beschikbaarheid, verantwoordelijkheden en bewaarplicht, bijvoorbeeld in een SLA. Voor persoonsgegevens geldt hetzelfde basisprincipe: schakelt u een verwerker in, dan blijft uw organisatie verantwoordelijk voor de verwerking. Een verwerker is de partij die persoonsgegevens namens u verwerkt, zoals een payroll- of HR-softwareleverancier.

Digitale dossiervorming is meer dan opslag

Een “map met pdf’s” is geen compleet dossier. De Belastingdienst rekent alle zakelijke gegevens die u op papier of digitaal vastlegt tot de administratie: van facturen en contracten tot correspondentie, agenda’s, software en databestanden. In de brochure over geautomatiseerde administratie staat zelfs dat zakelijke gegevens in mail, agenda’s en ook in zakelijk gebruikte privékanalen zoals WhatsApp tot de administratie kunnen behoren. Digitale dossiervorming vraagt daarom om een controlespoor of audit trail: een controleerbaar spoor van brongegeven naar boeking en terug.

Ook de vorm doet ertoe. Digitale facturen drukt u niet af om vervolgens het origineel weg te gooien; u bewaart ze digitaal. Scannen mag alleen als de weergave volledig en juist is, inclusief voor- en achterzijde, bijlagen en waar nodig echtheidskenmerken. Voor elektronische documenten geldt daarnaast dat authenticiteit, integriteit en leesbaarheid gewaarborgd moeten zijn. UBL- of XML-berichten moeten dus ook voor mensen leesbaar zijn of leesbaar gemaakt kunnen worden. Een auditfile kan helpen bij controle, maar vervangt de volledige administratie niet.

Het abonnementsrisico is een compliance-risico

Hier zit de blinde vlek. Het NCSC zegt dat cloudgebruik groeit, dat de afhankelijkheid van clouddiensten voor primaire processen daarmee toeneemt en dat exit binnen leveranciersmanagement misschien wel het meest onderbelichte onderwerp is. Juist voor boekhoud- en salarissoftware is dat relevant. SaaS betekent simpel gezegd: software die u online afneemt en die door de leverancier wordt beheerd. Dat is handig, maar het maakt u ook afhankelijk van toegang, contractvoorwaarden, exportmogelijkheden en ondersteuning bij vertrek.

De officiële bronnen schrijven het scenario “afgesloten wegens betalingsachterstand” of “leverancier failliet” niet apart uit. Maar de conclusie uit diezelfde bronnen is praktisch wel duidelijk: als u uw administratie bij controle niet binnen redelijke tijd kunt tonen, of uw programma’s en bestanden niet bruikbaar zijn, ligt het probleem bij uw organisatie. Daarom is afgesloten toegang tot een pakket geen IT-detail, maar een fiscaal en operationeel risico. Het NCSC adviseert om al bij de start van het contract een exitplan op te stellen, dit jaarlijks te actualiseren en daarin afspraken vast te leggen over gegevens, ondersteuning, voortgezet gebruik, kosten en eventueel escrow bij maatwerksoftware. Escrow is een afspraak waarbij broncode of cruciale software-informatie bij een onafhankelijke derde wordt bewaard voor noodgevallen, bijvoorbeeld als een leverancier uitvalt.

Back-up, herstel en bewaarschema horen bij elkaar

Een back-up is pas nuttig als u er ook mee kunt herstellen. Het NCSC adviseert de 3-2-1-methode: minimaal 3 versies van uw data, op 2 verschillende media, waarvan 1 op een andere locatie. Daarnaast adviseert het NCSC om back-ups te automatiseren, monitoring in te richten en periodiek daadwerkelijk hersteltests te doen. Ook wanneer IT is uitbesteed, blijft het volgens het NCSC belangrijk dat u als ondernemer rapportages ontvangt en controleert. De Autoriteit Persoonsgegevens noemt het tijdig kunnen herstellen van beschikbaarheid en toegang tot persoonsgegevens, en het regelmatig testen van maatregelen, expliciet als passende beveiliging.

Daar hoort ook een bewaarschema bij. Niet alles moet of mag eeuwig blijven staan. Voor fiscale basisgegevens gelden de wettelijke termijnen, maar onder de AVG mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel of de wettelijke plicht. Dat betekent praktisch: zorg voor een retentiebeleid, maar ook voor gecontroleerde verwijdering nadat de bewaartermijn is verstreken. Retentie is de periode waarover gegevens of back-ups beschikbaar blijven voor herstel of bewijs.

Actieplan (stappen 1 t/m 10)

  1. Maak een inventarisatie van alle systemen waarin administratie staat: boekhoudpakket, salarissoftware, HR-portal, urenregistratie, e-mail, cloudopslag en bankportalen.

  2. Splits per systeem de gegevens in categorieën: basisadministratie, loonadministratie, facturen, onroerende zaken, OSS-gegevens en overige bewijsstukken.

  3. Leg per categorie de bewaartermijn vast: 7 jaar, 10 jaar of de afwijkende loontermijn.

  4. Controleer contracten en SLA’s op vier punten: export, leesbare bestandsformaten, ondersteuning bij contracteinde en tijdelijke read-only toegang.

  5. Leg een cloud-exitplan vast voordat er een probleem is. Zet daarin ook kosten, timing, verwijdering en eventuele escrow voor maatwerk.

  6. Richt periodieke exports in buiten het pakket zelf: bijvoorbeeld facturen, journaalposten, grootboek, loonruns, jaaropgaven en urenbestanden.

  7. Bewaar die exports in een apart, beveiligd archief buiten de softwareleverancier.

  8. Richt 3-2-1-back-ups in en bepaal wat binnen uren terug moet zijn en wat pas later.

  9. Test herstel periodiek: niet alleen of de back-up draait, maar ook of dossiers, loondata en facturen echt bruikbaar teruggezet kunnen worden.

  10. Herzie dit beleid jaarlijks én bij ieder contractverlengings-, pakketwissel- of kostenbesparingsbesluit.

Checklist (1 minuut)

  •  Wij weten in welke pakketten onze administratie en loondata staan.

  •  Per dataset is een bewaartermijn vastgelegd.

  •  Facturen worden in de originele vorm bewaard.

  •  Export buiten het pakket is periodiek ingericht.

  •  Onze back-ups volgen minimaal het 3-2-1-principe.

  •  Hersteltests worden aantoonbaar uitgevoerd.

  •  Het contract bevat exit- en ondersteuningafspraken.

  •  Toegang tot loon- en ID-documenten is beperkt en afgeschermd.

  •  Wij kunnen ook zonder actief abonnement onze kernadministratie nog lezen.

  •  Er is een verwijderbeleid voor gegevens waarvan de bewaartermijn is verstreken.

Kader: belangrijkste mijlpalen & deadlines

  • 7 jaar — basisgegevens van de administratie, waaronder grootboek, debiteuren- en crediteurenadministratie, in- en verkoopadministratie en loonadministratie.

  • 10 jaar — gegevens over onroerende zaken en bepaalde OSS-gegevens.

  • Minimaal 5 kalenderjaren na uitdiensttreding — voor bepaalde loongegevens, waaronder opgaven voor de loonheffingen en kopieën van identiteitsbewijzen.

  • Gedurende de hele bewaartermijn — programma’s en bestanden moeten bruikbaar blijven voor controle; alleen print bewaren is onvoldoende.

  • Vóór contracteinde of pakketwissel — zorg dat export, leesbaarheid en toegang al geregeld zijn; dit is geen aparte wettelijke datum, maar wel de praktische deadline die uit de bewaarplicht en NCSC-exitadviezen volgt.

  • Status per 12 april 2026 — dit artikel is gebaseerd op de actuele Belastingdienst-pagina’s en het Handboek Loonheffingen 2026, versie maart 2026; latere handboekversies kunnen nog aanvullingen of verduidelijkingen bevatten.

Bronnen (officieel en betrouwbaar)

  • Belastingdienst — Een administratie opzetten voor uw belastingaangiften.

  • Belastingdienst — Hoe lang moet u uw administratie bewaren voor de btw: 7 of 10 jaar? 

  • Belastingdienst — Uw facturen bewaren.

  • Belastingdienst — Uw geautomatiseerde administratie en de fiscale bewaarplicht.

  • Belastingdienst — Handboek Loonheffingen 2026, versie maart 2026.

  • NCSC — Belang van een cloud-exitplan en Een back-up strategie opstellen.

Dit artikel is praktische duiding en geen juridisch, fiscaal of arbeidsrechtelijk advies.

CTAWilt u toetsen of uw administratie ook zonder boekhoudabonnement, payrollportal of leverancier nog controleerbaar en bruikbaar blijft? Plan een quickscan met Blaak Administratie en laat bewaartermijnen, exports, back-ups en cloud-exit in één keer scherp zetten.


 
 
 

Opmerkingen

bottom of page