Wouter Hoeffnagel - 29 januari 2016

Waar moet je op letten met het oog op de EU General Data Protection Regulation?

Europa heeft 15 december ingestemd met de nieuwe General Data Protection Regulation (GDPR). Invoer van de GDPR in de Europese landen moet op zijn laatst over twee jaar zijn gebeurd, maar Nederland loopt voorop. De GDPR is op bijna iedere organisatie van toepassing en de wet kent flinke boetes bij (onverhoopte) schending. De GDPR komt tegemoet aan ´Het Recht om Vergeten te Worden´. Dit recht geldt voor alle dossiers, ook voor de papieren varianten. Informatiemanager Iron Mountain zet de aandachtspunten rond de GDPR voor bedrijven op een rijtje.

Het Europese parlement, de EU-raad en de EU-commissie hebben op 15 december 2015 ingestemd met Europa’s nieuwe General Data Protection Regulation (GDPR). Dit betekent de grootste verandering in de regelgeving voor de gegevensbescherming sinds de opkomst van het internet. De GDPR is van belangrijke invloed op iedere organisatie die omgaat met gegevens van Europese oorsprong – van welke grootte of waar ter wereld dan ook.

Veranderende behoeften in de digitale economie
De hervormingen hebben tot doel tegemoet te komen aan de veranderende behoeften in de digitale economie en de persoonsgegevens te beschermen. Iron Mountain voorziet dat deze hervorming met name op papieren informatie lastig door te voeren is, en geeft daarom richtlijnen die helpen tegemoet te komen aan belangrijke onderdelen van de GDPR:

1. Weet álle informatie te vinden. De EU-GDPR vereist dat bedrijven en organisaties informatie tijdig anoniem maken of vernietigen. Voorwaarde is te weten wat er in huis is. De wetswijziging geeft burgers ´het recht om vergeten te worden´ en bedrijven moeten gevolg geven aan het verzoek om persoonlijke dossiers te vernietigen.
Bij digitale informatie schuilt het gevaar erin dat er (onbedoelde) kopieën op verschillende netwerk- en lokale schijven slingeren, bijvoorbeeld in de email.
Met papieren documenten wordt het pas echt lastig. Onderzoek van Iron Mountain liet eerder zien dat een kwart van de bedrijven en (overheids-) organisaties (22 procent) geen archiveringsbeleid heeft en medewerkers naar eigen inzicht laat werken. Als de informatie voorhanden is, is het vaak lastig die te bewerken.

Iron Mountain adviseert te bepalen welke afdelingen het meest waarschijnlijk ´Persoonlijk Herleidbare Informatie´ (PHI) onder hun beheer hebben en die als eerste op de lijst zetten voor het scannen en de externe beveiligde opslag van de papieren. Daarnaast luidt het advies om een helder archiverings- en nummeringssysteem voor dossiers op te zetten, met labels, beschrijvingen (metadata) op mappen en dozen, met duidelijke toegangsrechten en verantwoordelijkheden.

2. Papier leidt een dubbelleven. Heldere informatie-beheerprocessen, van aanmaak tot vernietiging, zijn een goed begin, maar papier is dun en glipt makkelijk door de mazen van de afspraken heen en zwerft dan rond in de vorm van rondslingerende afdrukken en kopieën, ook buiten de vestiging. In het jongste ´Privacy and Security Enforcement´-rapport, laat PwC zien dat menselijk falen de hoofdoorzaak is bij incidenten waarbij de gegevensveiligheid in het geding is.

Iron Mountain adviseert informatiebeheer-processen en -beleid te ondersteunen met regelmatige training van medewerkers, over het wat en hoe van een bedrijfscultuur waarin informatie-verantwoordelijkheid heerst.

3. ´Privacy in uitvoering´. De GDPR wil dat bescherming van de persoonlijkheidssfeer vooraf wordt meegenomen, voordat informatie wordt geproduceerd, beheerd en weer vernietigd. Voor papier betreft dit vooral de werkprocessen. Iron Mountain adviseert het praktisch onmogelijk te maken dat onbevoegden documenten met persoonsinformatie kopiëren, afdrukken en scannen. Processen voor de informatie-opslag, -bewaring, en –vernietiging, moeten worden herzien, met de persoonlijkheidssfeer voor ogen.

4. Sommige regels niet toepasselijk. Bepaalde elementen uit de GDPR, zoals over de gegevensoverdracht, zijn amper toepasselijke op papieren documenten, en dat is soms een voordeel. De eisen voor grootschalige en robuuste computerbeveiliging tegen cyber-hacks, zijn onnodig voor papier.

”Er is een boel advies in omloop over hoe om te gaan met de nieuwe GDPR-regelgeving, maar dat beperkt zich allemaal tot elektronische data en IT-beveiliging. Het is onverantwoord om papier links te laten liggen”, zegt Jeroen Strik, directeur van Iron Mountain Benelux. ”Zolang 123inkt bestaat heeft de digitalisering het papier niet vervangen, om over de immense archieven maar te zwijgen. Scannen van sporadisch gebruikte archieven is kostbaar. Kortom: neem papier mee in de omgang met de GDPR. Daarbij komt: wie zijn papieren-processen toepast op alle info, is goed bezig!”

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024