Een inspectie-instelling die conform de eisen van de ISO 17020:2012 wil functioneren zal met betrekking tot het archiveren van gegevens zich aan de gestelde voorwaarden moeten houden. Deze zijn vastgelegd in § 8.4.1 van ISO/IEC 17020:2012. Maar hoe verhoudt zich dat met de Algemene verordening gegevensbescherming (AVG)?

In § 8.4.1 wordt van de inspectie-instelling het volgende verlangd:

8.4.1 The inspection body shall establish procedures to define the controls needed for the identification, storage, protection, retrieval, retention time and disposition of its records related to the fulfilment of this International Standard.

(NL: De inspectie-instelling dient procedures vast te stellen om de beheersmaatregelen vast te stellen die noodzakelijk zijn voor de identificatie van, opslag van, bescherming van, terugvindbaarheid van, archiefduur van en beschikking over registraties die verband houden met het voldoen aan deze Internationale Standaard (lees: 17020:2012))

ILAC P15, de toelichting op ISO/IEC 17020, geeft aan, dat deze eis betekent, dat alle registraties die nodig zijn om overeenstemming met de eisen van 17020 aan te tonen moeten worden uitgevoerd en bewaard.

Noch ISO/IEC 17020, noch ILAC P15 noemen concrete bewaartermijnen. Als inspectie-instelling is het dus zaak om zelf een weloverwogen beleid te formuleren t.a.v. het bewaren van registraties, zeker gelet op de Algemene verordening gegevensbescherming (AVG) die in 2018 van kracht werd. Hierin wordt bepaald, dat persoonsgebonden gegevens niet onnodig lang bewaard mogen worden. Ook deze AVG noemt geen concrete bewaartermijnen.

Hierbij kan rekening gehouden worden met andere regelgeving, die in het kader van de scope van de accreditatie relevant is. Als voorbeeld noemen we hier een inspectie instelling die vloeistofdichte voorzieningen visueel inspecteert. De onderliggende normen die hier van toepassing zijn, zijn de protocollen van de SIKB (Stichting Infrastructuur Kwaliteitsborging Bodembeheer). Omdat na een voltooide inspectie een volgende inspectie pas over zes jaar plaats hoeft te vinden en men ter voorbereiding op een inspectie op de vorige inspectiebeoordelingen wil terug grijpen, is hier een bewaartermijn van minimaal zes jaar voorgeschreven. De inspectie-instelling kan deze termijn als minimale bewaarduur voor het archief hanteren.

De consultants van 17020 komen vaak bij inspectie instellingen, waar men zich met dit thema geen raad weet. Vaak denk men, beter te lang bewaard dan te kort en worden dossiers met inspectiegegevens oneindig lang bewaard. Het is zaak helderheid te creëren en duidelijke termijnen vast te leggen: welke minimale bewaartermijnen, welke maximale bewaartermijnen gelden er en op welke datum moeten documenten c.q. dossiers vernietigd worden. Iedere inspectie instelling dient dit dus zelf voor haar eigen situatie vast te leggen.