Privacywetgeving is veel in het nieuws de laatste tijd. De snelle en grootschalige verspreiding van data, in combinatie met een schrikbarende groei van het aantal datalekken, heeft dataprivacy hoog op de agenda gezet. Veel organisaties aarzelen hoe ze verder moeten met hun oorspronkelijke plannen op het gebied van privacy, gegevensbescherming en naleving van wet- en regelgeving. Bij Iron Mountain adviseren we archief- en informatiebeheerders in de eerste plaats het onderwerp op de agenda van de directie te krijgen – da´s een voorwaarde voor succes. In de tweede plaats herinnert het altijd aanwezige – en vaak genegeerde – papier ons hoe het ook weer moest.
Iron Mountain is wereldwijd de grootste informatiemanager en zelf ben ik directeur Nederland en België. We nemen de zorg voor miljarden klant-documenten en weten dus goed hoe het moet. De grote kunst is dat we onze adviesrol zo beheersen dat ons advies ook beleid wordt bij onze klanten.
Krijg het informatiebeheer op orde.
Nieuwe wetgeving voor gegevensbescherming heeft directe gevolgen voor uw manier van zaken doen. Maar zonder informatie is er geen privacy-probleem! Zorg dus dat u het informatiebeheer onder controle krijgt – de privacy-problemen zijn dan een kwestie van de juiste komma´s en punten zetten.
Zorg ervoor dat u een stem heeft in uw organisatie.
Ten tweede is het belangrijk dat uw juridische afdeling, die als eerste wordt aangekeken bij een probleem als privacy, wordt ondersteund door uw kennis van het dagelijkse proces rond informatiebeheer. De algemene tendens bij bedrijven is om alle juridische zaken bij juristen neer te leggen, maar die hebben te weinig kijk op de bedrijfsbehoeften als het gaat om informatiebeheer. Het is goed om een ´taakgroep privacy´ in het leven te roepen, waarin alle belanghebbenden zitting hebben – juristen incluis – met juist een informatiemanager in de centrale rol.
Pak de zaak pragmatisch aan.
Zorg ervoor dat u de juiste interne relaties bouwt en inbreng krijgt van personen binnen uw bedrijf die verstand hebben van de bedrijfsvoering en strategie. De informatiegebruikers die zich binnen de taakgroep bezig houden met privacy-problemen, zijn in staat om oplossingen in de bredere context te plaatsen, in balans met de strategische en operationele behoeften.
Vergeet het papier niet.
Papier en dataprivacy: de meeste mensen die praten over gegevensbescherming focussen niet op de fysieke kant. Ze focussen op digitale data omdat er bijna elke week opvallende cyberaanvallen plaatsvinden. En omdat we papier als iets van gisteren beschouwen. Maar papier is juist belangrijk wanneer we praten over privacy, en wordt te snel over het hoofd gezien. Vrijwel ieder bedrijf heeft een centraal of decentraal papieren archief, of heeft dat als erfenis. En vrijwel overal worden de juist de belangrijkste, strategische en privacygevoelige documenten afgedrukt. Dat verdient onze aandacht om te voorkomen dat archieven, werkdocumenten, klantenlijsten en kortingstaffels in verkeerde handen vallen.
Het veilig gebruiken, bewaren en vernietigen van papieren gegevens, verdient meer aandacht dan het nu vaak krijgt. En digitale informatie verdient eigenlijk een vergelijkbare behandeling – al kun je de toegangsrechten daartoe makkelijk automatiseren met rechten en authenticaties – want informatie blijft in essentie informatie: de drager biedt slechts wat verschillende voor- en nadelen.
Papier heeft als risico dat het amper terug is te vinden als het verkeerd is opgeborgen. Als u geen systeem heeft voor indexeren en digitaliseren om uw informatie georganiseerd te houden, dan heeft u een probleem als er een verzoek om inzage in of toegang tot informatie binnenkomt. De gemiddelde kosten van een verloren of gestolen dossier stijgen voortdurend en al acht jaar op rij. Het bedrag ging van €122 in 2014 naar €133 per dossier in 2015, volgens Information Security Buzz. Hoe langer een papieren document ergens ligt zonder systeem, hoe meer het een risico vormt. Opslag- en indexeringsprocedures zijn dus noodzakelijk – en daarin verschilt het niet van digitale informatie.
Stimuleer verantwoordelijke omgang met informatie.
De controle krijgen over uw papier is net zo belangrijk als het beschermen van digitale gegevens. Maar papier maakt het allemaal wat tastbaarder en daarom is het handig om van papier een prioriteit te maken en dat door te trekken naar alle informatie. In het informatietijdperk waarin we leven, zijn waardevolle gegevens de levensader en een voorwaarde voor het succes of zelfs het voortbestaan van bedrijven. Het is dus belangrijk dat medewerkers informatie als heilig beschouwen. Respect voor de informatie-activa is een ondergeschoven kind.
We begrijpen het dat gebouwen, auto´s, voorraden, grondstoffen, of zelfs geld, goud, edelmetalen en waardepapieren heilig zijn. Maar informatie is dat tegenwoordig ook. En vinden we dat zelf niet, dan vindt de wetgever dat wel en die laat ons dat weten met boetes die niet mals zijn. Over een gezonde informatiecultuur valt veel te zeggen, maar ik beperk me ditmaal tot het allerbelangrijkste advies: goed voorbeeld, doet goed volgen. We gaan nog steeds ronduit onachtzaam met informatie om. De directie zelf is het belangrijkst voor de benodigde cultuur. En die gaat er het slordigst mee om. Daar valt dus al makkelijk veel te winnen.
> Lees ook ‘Liever veiligheid dan privacy’