Waarom tijdelijke opslag absoluut geen archivering is?
Emanuel Böminghaus, Expert in legacy systemen, Algemeen directeur AvenDATA
Emanuel Böminghaus
Expert in legacy systemen,
Algemeen directeur AvenDATA
Algemeen directeur AvenDATA
Bij de uitfasering van legacy systemen wordt vaak gekozen voor een schijnbaar pragmatische ‘quick fix’: we kopiëren alle historische data naar een server, maken een snelle back-up van de database of zetten wat mappen op een externe schijf. Deze aanpak mist echter de kern. Er is namelijk een wereld van verschil tussen het simpelweg ‘parkeren’ van data en een volwaardige, audit-proof archivering.
In de praktijk zien we bij organisaties steeds weer dezelfde gevaarlijke misverstanden opduiken rondom het veiligstellen van data tijdens een systeemuitfasering. Deze blinde vlekken leiden niet alleen tot acute compliance-risico’s en problemen bij een controle door de Belastingdienst, maar veroorzaken op de lange termijn ook structurele hoofdpijn rondom IT-security, trage datatoegang en onnodig hoge verborgen kosten. Dit zijn de vijf meest gemaakte, dure inschattingsfouten op een rij:
Misvatting 1: "Een back-up is toch voldoende"
Een back-up is bedoeld voor technisch herstel na een calamiteit, niet voor een langdurige, audit-proof archivering. Back-ups zijn cyclisch, worden regelmatig overschreven en zijn er simpelweg niet op gebouwd om specifieke informatie jarenlang traceerbaar, ongewijzigd en gestructureerd toegankelijk te houden.
Bij de uitfasering van legacy systemen is een simpele back-up dan ook volstrekt onvoldoende om te voldoen aan de fiscale bewaarplicht. Een professioneel archiefsysteem daarentegen logt elke toegang, blokkeert achteraf doorgevoerde wijzigingen en garandeert dat uw data zelfs na zeven jaar bij een controle door de Belastingdienst nog steeds feilloos leesbaar, interpreteerbaar en direct bruikbaar is.
Misvatting 2: "Alleen databases hoeven te worden gearchiveerd"
Veel organisaties denken bij de uitfasering van systemen uitsluitend aan de database-inhoud, zoals journaalposten of klantstamdata. Dat is een gevaarlijke inschattingsfout. Ook ongestructureerde data zoals e-mails, pdf’s, Word- en Excel-bestanden vallen onder de wettelijke documentatie- en bewaarplicht. Zeker bij uitgefaseerde legacy systemen zwerven deze bestanden vaak nog onbeheerd rond op file-shares, netwerkschijven of lokale mappen.
Vooral bij ERP-systemen is dit een enorm risico: als u alleen de ruwe database exporteert, verliest u de complete zakelijke context. De daadwerkelijke business-logica de processen, regels en relaties die de data betekenis geven verdwijnt met de uitfasering. Zonder deze logica is het leeuwendeel van uw data onleesbaar, nutteloos en absoluut niet audit-proof.
Misvatting 3: "Een pdf is automatisch audit-proof"
Pdf-documenten worden vaak gezien als het makkelijkste archiefformaat. Maar let op: een losse pdf staat niet gelijk aan een audit-proof archief. Het draait namelijk niet om het bestandsformaat, maar om het totale compliance-plaatje. Is het document gegarandeerd manipulatievrij opgeslagen? Worden alle toegangsrechten strak gelogd? En is er een waterdicht en gecontroleerd verwijderingsbeleid actief?
Bij de uitfasering van legacy systemen moet u dus altijd garanderen dat ook deze documenten veilig naar een gespecialiseerd archiefsysteem worden overgezet. Alleen met die gestructureerde aanpak elimineert u bedrijfsrisico’s en bent u verzekerd van absolute, langdurige compliance.
Misvatting 4: "We parkeren de data extern. Dat is toch genoeg?"
Externe harde schijven of standaard cloudopslag lijken misschien een handige en goedkope oplossing voor databehoud na de uitfasering van een legacy systeem. In de praktijk voldoen deze methodes echter vrijwel nooit aan de strenge eisen van de fiscale bewaarplicht. Zonder gestructureerde metadata, onwijzigbare audit-trails, geautomatiseerde verwijderingsregels en strakke toegangscontroles creëert u slechts een digitale dumpplaats, absoluut géén audit-proof archief.
Daarnaast is deze ‘quick fix’ een tikkende tijdbom voor uw compliance met de privacywetgeving (AVG/GDPR). Gevoelige persoonsgegevens belanden maar al te vaak onbeschermd in niet-gecertificeerde omgevingen, wat de kans op datalekken aanzienlijk vergroot. De definitieve uitfasering van een IT-systeem mag nooit het excuus zijn voor een informele en onveilige ‘afvalverwerking’ van bedrijfsdata.
Misvatting 5: "Zolang er nog íemand bij de data kan, zitten we goed"
Na een systeemuitfasering zwerft er vaak nog wel ergens een oude admin-login of een lokale kopie rond. Dit biedt niets meer dan schijnveiligheid en is geen volwaardig alternatief voor een gestructureerde archiefoplossing. Zodra uw ervaren IT-beheerder de organisatie verlaat, de verouderde software weigert te draaien of de hardware crasht, is de toegang tot het systeem permanent afgesloten. Daarmee gaat uw kritieke data direct verloren.
Professionele archivering betekent dat uw bedrijfsdata langdurig, veilig en volledig onafhankelijk van het oorspronkelijke legacy systeem toegankelijk blijft. Wie blind gokt op de aanname “er is vast nog wel een collega die dit bestand open krijgt”, neemt onaanvaardbare compliance-risico’s. Bij een gerichte controle door de Belastingdienst kunt u in zo’n scenario de vereiste historische informatie niet aanleveren, wat onherroepelijk leidt tot forse naheffingen en reputatieschade.
Conclusie: Een systeemuitfasering is meer dan een technische handeling. Het vereist een waterdicht archiverings- en verwijderingsbeleid.
Tijdelijke opslag is absoluut geen archivering. Juist bij de uitfasering van een legacy systeem is een scherpe planning cruciaal: welke data is nog nodig, wat mag definitief weg, en hoe archiveert u de resterende informatie gestructureerd, audit-proof en volledig in lijn met de fiscale bewaarplicht waarbij u de data na verloop van tijd ook weer gecontroleerd kunt verwijderen?
Vooral bij complexe ERP-systemen zien we dat de zakelijke context volledig verdampt zodra u de onderliggende applicatielogica lostrekt. Een simpele database-back-up is dan ook volstrekt onvoldoende om latere controles door de Belastingdienst te doorstaan of om adequaat te reageren op juridische informatieverzoeken. Bovendien maakt een ruwe back-up het vrijwel onmogelijk om persoonsgegevens na het verstrijken van de bewaartermijn veilig en AVG-conform te vernietigen, wat aanzienlijke compliance-risico’s met zich meebrengt.
Kortom: data-archivering is geen administratieve bijzaak, maar de strategische kern van elke systeemuitfasering. Het is de absolute voorwaarde om historische bedrijfsinformatie in de toekomst te kunnen blijven begrijpen en benutten, én om deze desgewenst op een juridisch veilige manier te vernietigen. Door dit vooraf strak te regelen, elimineert u risico’s en bespaart u structureel op de kosten van uw IT-beheer.
Plant u de archivering van een legacy systeem?