Skip to content
reader.me

AVG/GDPR en documenten: wat de wet zegt over het uploaden van PDF's

Een PDF met persoonsgegevens uploaden naar een cloudtool kan AVG/GDPR-plichten in gang zetten. Wat telt als verwerking, wie de verwerker is, en waarom lokaal wint.

AG Antonia González · 23 juni 2026 · 7 min leestijd

Je sleept een factuur in een gratis online tool om hem te verkleinen. Er staat de naam van een cliënt op, een adres, misschien een btw-nummer. Vijf seconden later heb je een kleiner bestand en ga je door. Is er net iets juridisch gebeurd?

Onder de AVG/GDPR heel waarschijnlijk wel. En de meeste mensen denken er nooit over na, omdat het document onschuldig leek en de tool gratis leek.

Dit is geen juridisch advies. Ik ben niet je advocaat en elke situatie heeft zijn eigen details. Maar de vorm van de regels is het begrijpen waard, want het verandert hoe je documenten zou moeten behandelen die de gegevens van anderen bevatten.

Wat de AVG/GDPR “verwerking” noemt

Mensen nemen aan dat de AVG/GDPR over databases en marketinglijsten gaat. De werkelijke definitie is veel breder. Verwerking is vrijwel alles wat je met persoonsgegevens doet: ze verzamelen, opslaan, lezen, wijzigen, delen, verwijderen. De verordening noemt letterlijk “raadpleging” en “gebruik” als vormen van verwerking.

Dus wanneer je PDF persoonsgegevens bevat (een naam plus een telefoonnummer is al genoeg) en je iets met dat bestand doet, verwerk je persoonsgegevens. Comprimeren telt mee. Samenvoegen telt mee. Converteren telt mee.

Dat alleen is geen probleem. Bedrijven verwerken de hele dag persoonsgegevens. De vraag die de AVG/GDPR stelt is hoe je het doet, en wie anders de gegevens onderweg aanraakt.

Waarom uploaden een “verwerker” introduceert

Hier komt het cloudgedeelte in beeld. Wanneer je die factuur uploadt naar een externe dienst, verlaat het bestand je controle en belandt het op de servers van iemand anders. Dat bedrijf verwerkt nu de persoonsgegevens namens jou. De AVG/GDPR heeft daar een naam voor: een verwerker. Jij, degene die besloot dit te doen, bent de verwerkingsverantwoordelijke.

Op het moment dat een verwerker betrokken is, krijgt de verwerkingsverantwoordelijke echte plichten. De grote is artikel 28: je hebt een schriftelijk contract met die verwerker nodig, vaak een verwerkersovereenkomst genoemd. Daarin moet staan wat ze met de gegevens mogen doen, hoe ze die beschermen, wanneer ze die verwijderen, en of ze die aan iemand anders mogen doorgeven.

Sta even stil bij de gratis PDF-tool die je vorige maand gebruikte. Heb je een verwerkersovereenkomst met ze getekend? Heb je gelezen waar hun servers staan? Heb je gecontroleerd wie hun subverwerkers zijn? Vrijwel zeker niet. Je hebt een bestand met andermans persoonsgegevens geüpload naar een bedrijf waar je geen enkel contract mee hebt. Dat is het gat.

De valkuil van internationale doorgifte

Het wordt neteliger wanneer de servers buiten de EU staan. Persoonsgegevens sturen naar een aanbieder in een ander land is een doorgifte, en de AVG/GDPR beperkt die. Je hebt er een geldige rechtsgrond voor nodig, zoals standaardcontractbepalingen of een adequaatheidsbesluit voor dat land.

De meeste gratis tools vertellen je niet waar ze draaien. Het bestand kan verwerkt worden in een datacenter op een ander continent, door een wachtrij gestuurd, gecachet in een opslagbucket, en je zou geen manier hebben om dat te weten. Voor een persoonlijke vakantiefoto: prima. Voor een contract vol cliëntgegevens heb je stilletjes een internationale doorgifte gedaan die je niet kunt documenteren.

Minimalisatie, het principe dat iedereen vergeet

De AVG/GDPR heeft een principe dat dataminimalisatie heet. Je zou alleen de persoonsgegevens moeten verwerken die je daadwerkelijk nodig hebt, op de manier die het minst ingrijpt. Er is ook een verwant principe: denk aan privacy wanneer je een proces ontwerpt, niet erna.

Pas dat toe op een eenvoudige taak als het comprimeren van een PDF. Moet je het contract van een cliënt naar een server van derden sturen om het kleiner te maken? Nee. De compressie kan op je eigen machine gebeuren. Het naar buiten sturen voegt een verwerker toe, een contract dat je niet hebt, en misschien een doorgifte die je niet kunt rechtvaardigen, allemaal voor een verandering in bestandsgrootte. Dat is het tegenovergestelde van minimalisatie.

Waarom lokale verwerking het meeste hiervan omzeilt

Hier is het deel dat het hele probleem kleiner maakt. Verlaat het bestand je apparaat nooit, dan verwerkt geen derde partij het. Geen verwerker betekent geen artikel 28-contract om achteraan te jagen. Niets steekt een grens over, dus is er geen doorgifte om te rechtvaardigen. Je bent nog steeds de verwerkingsverantwoordelijke, je bent de betrokkene nog steeds de gebruikelijke zorg verschuldigd, maar een groot stuk van de papierwinkel is simpelweg niet van toepassing, omdat niemand anders de gegevens aanraakte.

Dit is het idee achter tools die volledig in je browser draaien. De code doet het werk lokaal, in het geheugen van je computer, en je PDF blijft staan. Zo hebben we reader.me gebouwd. Wanneer je een PDF comprimeert, wordt het bestand in je browser verwerkt en bereikt het nooit een server van ons. Open de DevTools van je browser, kijk naar het tabblad Network, en je kunt bevestigen dat er niets met je document naar buiten gaat.

Praktische stappen voor bedrijven en zzp’ers

Een paar gewoontes die je aan de goede kant van de zaak houden:

  • Behandel elk document met namen, identiteitsnummers of contactgegevens als persoonsgegevens. Facturen, contracten, cv’s en medische formulieren tellen allemaal mee.
  • Voordat je iets uploadt naar een cloudtool, vraag wie de verwerker is. Geen verwerkersovereenkomst, geen duidelijk antwoord over de serverlocatie? Stuur er geen cliëntgegevens doorheen.
  • Kies standaard voor lokale tools voor routineklussen zoals comprimeren, samenvoegen of splitsen. Kan het in je browser draaien, dan is er geen verwerker om te beoordelen.
  • Houd een korte registratie bij van welke diensten persoonsgegevens aanraken. De AVG/GDPR verwacht sowieso dat verwerkingsverantwoordelijken dit weten.
  • Heb je echt een clouddienst nodig, kies er dan een die een echte verwerkersovereenkomst biedt en je vertelt waar de gegevens staan.

De regels klinken zwaar, maar de dagelijkse oplossing is licht. Het meeste PDF-werk heeft helemaal geen server nodig. Houd het bestand op je machine, en het meeste juridische gewicht belandt in de eerste plaats nooit op jou.