Eens in de zoveel tijd komt het weer in het nieuws: een medewerker heeft een USB-stick met vertrouwelijke informatie laten liggen in een taxi of een stapel vertrouwelijke dossiers bij het vuilnis op straat gezet. Natuurlijk is fouten maken menselijk, maar in zo’n geval kunnen de gevolgen voor de organisatie van de medewerker desastreus zijn.
Met de nieuwe Europese wet databescherming (GPDR of AVG) op komst, wordt er veel aandacht besteed aan het beschermen van digitale gegevens, de veranderingen in de regelgeving voor organisaties, en de aanpassingen die afdelingen moeten doen om aan de wetgeving te voldoen. Maar databescherming gaat verder dan alleen digitale data. Ook de bescherming van papieren contracten, personeelsgegevens, klantdossiers of andere vertrouwelijke informatie mag niet worden vergeten. Ben Adams, European Product Specialist Business Machines bij Office Depot, legt uit hoe bedrijven en instellingen hier het beste mee om kunnen gaan.
Digitaal is niet de heilige graal
“Natuurlijk kun je een fysiek archief digitaliseren: dan is de kans een stuk kleiner dat het bij het vuilnis komt te staan. Het scheelt veel kastruimte en je dossiers zijn beschermd tegen bijvoorbeeld brandgevaar. Maar het digitaliseren van een fysiek archief is een tijdrovende en kostbare klus en niet altijd even relevant. Bovendien willen veel bedrijven graag beide blijven hanteren: een fysiek archief waarin de originele documenten bewaard worden en een digitaal archief voor de elektronische documentatie”, legt Adams uit.
Ben Adams adviseert organisaties een verantwoordelijke aan te stellen voor documentbeheer.
Strengere regels voor bewaren persoonsgegevens
Met de komst van de nieuwe datawet zullen vanaf 25 mei 2018 andere regels gaan gelden voor het bewaren van persoonsgegevens. Bedrijven mogen de gegevens niet langer bewaren dan strikt noodzakelijk en alleen gebruiken voor het vooraf aangegeven doel. “Zo moeten gegevens van sollicitanten die niet zijn aangenomen direct na de procedure worden verwijderd. En ook als een werknemer uit dienst treedt, mogen zijn gegevens niet langer worden bewaard. Bewaren van de gegevens mag alleen als de persoon in kwestie hier uitdrukkelijk toestemming voor heeft gegeven. Dit geldt zowel voor de digitale als de fysieke documenten”, aldus Adams.
Voor bedrijfsdocumenten gelden andere regels
De nieuwe datawet is niet gericht op bedrijfsdocumenten, hiervoor geldt een verplichte bewaartermijn die verbonden is aan het soort document. “De bewaartermijn van de fiscale administratie is bijvoorbeeld zeven jaar, hierna mag deze worden vernietigd.”
Vernietiging: door de versnipperaar of uitbesteden?
Bij het vernietigen van vertrouwelijke documenten biedt een papierversnipperaar natuurlijk uitkomst, zelfs als het gaat om grote hoeveelheden papier. Er zijn zelfs papierversnipperaars waar je hele pakketten papier in kunt stoppen. Maar je kunt er ook voor kiezen het vernietigen uit te besteden. “Je moet er wel zeker van zijn dat het bedrijf op de juiste manier met jouw vertrouwelijke documenten omgaat. Zijn de papiercontainers bijvoorbeeld afgesloten? Kan niemand iets zien op het papier in de containers of tijdens het legen ervan? Ontvang je een certificaat van vernietiging, waarin wordt vermeld dat er aan de vereiste normen is voldaan? Deze criteria geven een goede indruk van het vernietigingsbedrijf.“
Geef uitleg over de nieuwe regels
“Daarnaast moeten de werknemers ook beseffen wat het belang is van het tijdig en veilig vernietigen van vertrouwelijke informatie. Velen van hen zullen misschien ergens iets gehoord hebben over de nieuwe wetgeving, maar zij zullen zich vaak niet realiseren dat deze regels ook voor papieren archieven gelden”, aldus Adams.
Wat nooit is vastgelegd, kun je ook niet verliezen
Risicobeheersing
Ook al ga je nog zo netjes om met de opslag van je documenten, een lek kan toch plaatsvinden. Een van je medewerkers kan zich vergissen, zelfs als het degene is die alles zo perfect op orde heeft. De nieuwe wet verplicht je altijd melding te maken van datalekken, menselijke fout of niet. Adams: “Met de meldplicht datalekken wil je niet te maken krijgen. Je gegevens liggen dan op straat en je bedrijf krijgt te maken met flinke imagoschade. Richt daarom je organisatie in op het voorkomen van lekken en leer je werknemers de risico’s en de gevolgen ervan. Een voorbeeld is dat je een bewuste keuze maakt wat je wel en niet registreert en waar je het opslaat. Wat nooit is vastgelegd, kun je ook niet verliezen. Voor het opslaan van digitale data kun je toegang verschaffen tot een beveiligde opslaglocatie – ook voor werknemers die op locatie werken – zodat ze geen publieke cloud-omgeving of een losse USB-stick hoeven te gebruiken. Zorg er bovendien voor dat medewerkers hun apparaten versleutelen met een wachtwoord.”
Stel een verantwoordelijke aan voor het documentbeheer
Tot slot adviseert Adams: “Stel een verantwoordelijke aan voor documentbeheer. Bijvoorbeeld binnen ieder project en binnen het bestuur. Niet iedereen hoeft toegang te hebben tot vertrouwelijke documenten. Mocht een collega een dossier nodig hebben, dan kan hij het ook even bij de verantwoordelijke opvragen. Wie geen sleutel van de deur heeft, kan deze ook niet open laten staan.”
Marlous Fortuin werkt bij Wisse Kommunicatie
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Om als organisatie hieraan te kunnen voldoen, heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen op een rijtje gezet. Deze kunt u hier eenvoudig downloaden.