Wij zijn je hosting en registrar partner in Nederland en België. Met 5 tips om AVG afspraken rond email en backups vast te leggen maak je privacy helder en beheersbaar.
We regelen de kern: verwerkersovereenkomst, SLA, subverwerkers, bewaartermijn en retentie. Voor email borgen we TLS, SPF, DKIM en DMARC. Voor backups kiezen we versleuteling en strakke toegang.
We testen herstel, loggen datalekken en spreken RTO en RPO af. Zo voldoen je email en backups aan de AVG en helpen wij je snel met duidelijke afspraken.
Wat zijn AVG afspraken rond e mail en back ups
AVG afspraken rond e mail en back ups zijn concrete, aantoonbare regels over hoe je persoonsgegevens in mailboxen en in back up kopieën verzamelt, verwerkt, bewaart en verwijdert. Je legt hierin rollen, bewaartermijnen, beveiligingsmaatregelen en procedures vast volgens de Algemene Verordening Gegevensbescherming van de Europese Unie en de richtsnoeren van de European Data Protection Board. In Nederland houdt de Autoriteit Persoonsgegevens toezicht en in België de Gegevensbeschermingsautoriteit. Voor hosting en domeinregistratie in Nederland en België hoort hier ook bij dat je data binnen de Europese Economische Ruimte blijft, dat je verwerkersovereenkomsten sluit en dat je e mail en back ups versleutelt en tijdig kunt herstellen.
Tip 1 Leg de verwerkersovereenkomst en rollen meteen vast
Begin met een verwerkersovereenkomst tussen jou als verwerkingsverantwoordelijke en ons als verwerker. Bepaal in duidelijke taal welke soorten persoonsgegevens via e mail worden verwerkt, welke systemen we inzetten en welke beveiliging geldt, zoals ISO 27001 controls, TLS bij transport en versleuteling met AES 256 bij opslag. Werk met een RACI schema zodat iedereen weet wie verantwoordelijk is en wie uitvoert. Als data buiten de EER zou gaan, gebruik je Standaard Contractbepalingen, al houden wij opslag binnen de EU. Voeg een dataregister toe met de grondslag, bewaartermijn en categorie per mailbox en back up set.
Tip 2 Standaardiseer e mailbeveiliging met SPF DKIM DMARC en TLS
Zorg dat je e mail domein aantoonbaar beschermd is en reduceer spoofing en phishing. Combineer DNS beveiliging met transportversleuteling en monitoring. Deze AVG afspraak geef je weer in beleid en in je configuratie.
- SPF beleid: Publiceer een scherp SPF record dat alleen onze uitgaande mailservers toestaat en verwijder verouderde bronnen.
- DKIM ondertekening: Onderteken uitgaande e mail met sterke sleutels en roteer sleutels periodiek.
- DMARC handhaving: Start met rapportage, ga naar quarantaine en zet daarna op afwijzen met forensische en aggregate rapporten.
- TLS en MTA STS: Forceer TLS bij transport, publiceer MTA STS beleid en gebruik TLS rapportage voor zicht op misconfiguraties.
- DNSSEC bij domeinen: Activeer DNSSEC zodat je authenticatie records niet kunnen worden gemanipuleerd.
Wil je dit zonder gedoe goed geregeld hebben met veilige opslag in de EU, kies dan voor onze privacyvriendelijke zakelijke e mail hosting en laat ons de technische borging uitvoeren.
Tip 3 Maak de drie twee een back up strategie aantoonbaar
Leg vast dat je altijd drie kopieën hebt op twee typen media met minimaal één kopie offline of immutabel en geografisch gescheiden binnen de EU. Beschrijf hersteldoelen en testperioden in je overeenkomst, inclusief wie restores mag starten.
- Versleuteling in rust: Back ups versleutelen we met AES 256, sleutels worden gescheiden beheerd en gelogd.
- Onveranderbare kopie: Minimaal één kopie is immutabel zodat ransomware niets kan overschrijven.
- Geografische scheiding: Kopieën worden in fysiek gescheiden datacenters binnen Nederland en België bewaard.
- Herstel testen: Plan kwartaaltests van herstel van afzonderlijke mailboxen en volledige accounts met testrapporten.
- Retentiebeleid: Documenteer retentie per mailboxcategorie, bijvoorbeeld verkoop, HR of support, met duidelijke einddata.
Tip 4 Definieer bewaartermijnen en recht op verwijdering in e mail en back ups
Maak bewaartermijnen concreet per doeleinde en laat die aansluiten op wettelijke verplichtingen zoals fiscale bewaarplichten. Documenteer hoe je verzoeken om inzage, correctie en verwijdering uitvoert in mailboxen en in back ups, inclusief de uitzonderingen die tijdens de retentie van back ups kunnen gelden. Benoem de doorlooptijd voor het verwijderen uit live systemen en de eerstvolgende back up rotatie waarin de data verdwijnt. Noteer ook hoe je zoekslagen in archieven uitvoert bij een verzoek en hoe je dat overdraagt in mensleesbaar formaat.
Tip 5 Log incidenten, voer DPIA uit en toets RTO en RPO
Beschrijf hoe je beveiligingsincidenten rondom e mail en back ups detecteert, registreert en meldt binnen 72 uur waar nodig. Leg vast wanneer een data protection impact assessment nodig is, bijvoorbeeld bij grootschalige monitoring van communicatiepatronen. Bepaal hersteldoelen zoals een hersteltijd en een herstelpunt, en test die periodiek. Baseer je controles op ISO 27001 en best practices van IETF voor e mailprotocollen zodat je consistent en aantoonbaar compliant blijft.
Stappenplan om AVG afspraken rond e mail en back ups vast te leggen
- Inventariseer datastromen: Breng alle mailboxen, aliassen, forwarding en archieven in kaart inclusief systemen en locaties binnen de EU.
- Schrijf en teken afspraken: Stel de verwerkersovereenkomst, RACI en retentiebeleid op en laat tekenen door alle betrokken partijen.
- Configureer beveiliging: Activeer SPF, DKIM, DMARC, TLS, MTA STS en DNSSEC en documenteer de instellingen en rotaties.
- Implementeer back ups: Zet de drie twee een strategie op met versleuteling, immutabiliteit en hersteltests per kwartaal.
- Train en audit: Train teams in phishingherkenning en privacyprocedures en voer halfjaarlijkse audits met testrapporten uit.
Hoe wij dit praktisch invullen bij Flexahosting
Wij helpen je in Nederland en België met duidelijke AVG afspraken voor e mail en back ups, zonder VPS. Onze hosting draait binnen de EU, met gratis SSL, onbeperkt dataverkeer, onbeperkte e mailadressen, onbeperkte MySQL databases en webhosting vanaf 1,99 euro. Je zet in twee minuten een website neer met onze gratis AI builder voor WordPress en je domeinnaam regel je al vanaf één euro. Voor domeinregistraties werken we samen met registries zoals SIDN en DNS Belgium en we ondersteunen DNSSEC standaard. Wil je alles netjes borgen en migreren zonder onderbreking, bekijk dan onze oplossing voor domein en e mail hosting of start direct met e mail hosting met sterke privacy. Wil je meteen weten wat het kost met concrete maatregelen, vraag nu een gratis AVG implementatie voorstel binnen 24 uur aan en wij regelen de technische en contractuele kant.
Meest gestelde vragen
Wat zijn de 5 tips om AVG afspraken rond e mail en back ups vast te leggen die echt werken?
Begin met een stevige verwerkersovereenkomst waarin je rollen, doeleinden, categorieën persoonsgegevens, subverwerkers en opslaglocaties binnen de EER of met SCC opneemt. Leg vervolgens bewaartermijnen per mailbox vast en koppel back up retentie aan een juridische grond. Borg technische en organisatorische maatregelen zoals TLS, SPF, DKIM, DMARC, versleuteling met AES 256, strikte toegangsrechten op basis van noodzaak en volledige logging. Documenteer een back upbeleid met heldere frequentie, RPO en RTO, hersteltests en de drie twee een regel. Maak tot slot een datalekproces met triage, risicobeoordeling en meldplichten binnen 72 uur richting de Autoriteit Persoonsgegevens wanneer vereist.
Kies concrete waarden die bij je risico passen. Denk aan twaalf maanden voor een support mailbox en negentig dagen back up retentie, met maandelijkse hersteltests. Werk dit uit in je verwerkingsregister en voer bij verhoogd risico een DPIA uit volgens EDPB richtsnoeren. Bij Flexahosting krijg je gratis SSL via autoSSL, onbeperkt e mailadressen, webhosting vanaf €1,99 en een domeinnaam voor 1 euro, plus een duidelijke verwerkersovereenkomst zodat je afspraken aantoonbaar zijn. Wij doen geen VPS, wel betrouwbare hosting voor Nederland en België.
Hoe bepaal je bewaartermijnen voor e mail en back ups onder de AVG in Nederland?
Start met een inventarisatie per mailboxtype zoals sales, support en facturatie, bepaal het doel en de rechtsgrond en koppel daar een concrete bewaartermijn aan. Houd rekening met sectorspecifieke regels. Administratieve bescheiden die onder de fiscale bewaarplicht vallen moeten doorgaans zeven jaar bewaard blijven bij de Belastingdienst. E mail is alleen zo lang nodig als het onderdeel uitmaakt van die administratie. Stel voor back ups een kortere retentie in dan de primaire bewaartermijn om onnodige opslag te voorkomen.
Leg dit vast in beleid en in je verwerkersovereenkomst met je hostingprovider. Beschrijf exacte termijnen, het proces voor automatische opschoning en hoe je verwijdering in actieve systemen afstemt met back up retentie. Test elk kwartaal of opschoning en herstel werken zoals beschreven. Bij twijfel over sectorspecifieke eisen zoals zorg en NEN 7510 is juridisch advies verstandig. Flexahosting ondersteunt je met veilige verbindingen en gratis SSL, zodat je beleid en techniek elkaar versterken zonder gedoe.
Wat moet er in een verwerkersovereenkomst staan voor e mail en back ups met je hostingprovider?
Noem de rollen verwerkingsverantwoordelijke en verwerker, beschrijf de verwerkingen voor e mail en back ups, het doel, de categorieën betrokkenen en gegevens, en de bewaartermijnen. Leg vast welke beveiliging van toepassing is zoals TLS, SPF, DKIM, DMARC, versleuteling met AES 256, toegangsbeheer, logging en monitoring. Benoem subverwerkers, de locaties van dataopslag binnen de EER of de inzet van SCC buiten de EER, en het datalekproces inclusief ondersteuning bij meldingen en verzoeken van betrokkenen.
Voeg audit en rapportage toe, inclusief beschikbaarheid van logbestanden en herstelrapporten, assistentie bij DPIA, en duidelijke afspraken over exit, dataverwijdering en sleutelbeheer. Stem dit af op je RPO en RTO zodat bedrijfscontinuïteit en privacy samengaan. Flexahosting levert een heldere verwerkersovereenkomst en transparantie over onze diensten, met gratis SSL, onbeperkt e mailadressen en webhosting vanaf €1,99. Zo borg je zowel naleving als performance zonder onnodige complexiteit.
Hoe voorkom je dat back ups het recht op verwijdering blokkeren en hoe regel je selectief terugzetten?
Hanteer korte en proportionele back up retenties, zodat verwijderde gegevens in back ups vanzelf binnen afzienbare tijd verdwijnen. Wijzig back ups niet op recordniveau, maar zorg dat je bij een herstel selectief kunt terugzetten en verwijderde items overslaat. Documenteer wanneer een volledige restore wel of niet is toegestaan en hoe je dat onderbouwt. Versleutel back ups en beheer sleutels strikt, zodat je toegang tot historische kopieën kunt beperken tot strikt noodzakelijke situaties.
Leg een proces vast voor verzoeken tot verwijdering inclusief effect op back ups, en test elk kwartaal een selectieve restore. Koppel dit aan je RPO en RTO en pas de drie twee een regel toe met bijvoorbeeld lokale en offsite kopieën. Controleer of je aanpak past bij EDPB richtsnoeren en het beleid van de Autoriteit Persoonsgegevens. Flexahosting helpt je met duidelijke richtlijnen en aantoonbaarheid, terwijl jij profiteert van gratis SSL, een domeinnaam voor 1 euro en een website live in twee minuten met onze gratis AI builder voor WordPress.
