Logo
  • Achtergrond
  • 11 maart 2016
  • Jeroen Strik

Tips voor beleid om datalekken te voorkomen

Europese landen, en daarmee hun bedrijven en organisaties, hebben maximaal twee jaar om zich op te maken voor de nieuwe Europese privacywetgeving General Data Protection Regulation. Bedrijven en organisaties lijken zich vooral te bekommeren om bescherming van digitale gegevens, maar de strikte regels en hoge boetes gelden evenzeer voor papier. Hoe moet u hier praktisch mee omgaan?
Beeld Tips voor beleid om datalekken te voorkomen

Uiteraard loopt Nederland voorop: onze Meldplicht Datalekken als beschreven in de Wet bescherming persoonsgegevens is al sinds januari van kracht. Nu is het van belang verantwoordelijken te benoemen, richtlijnen op te stellen, medewerkers voor te lichten en te controleren of ze de regels naleven.

De General Data Protection Regulation (GDPR) is vooral bedoeld om mensen te beschermen tegen bedrijven die munt willen slaan uit hun persoonsgegevens. Bijvoorbeeld door verschillende gegevens te combineren, te analyseren en de resultaten daarvan – de ´samengestelde data´ - aan derden te verkopen.

Reputatieschade

Ook al is er geen kwade opzet in het spel, dan nog genieten personen en hun gegevens bescherming. Wie slordig omgaat met persoonsgegevens kan vanwege de GDPR voortaan zeer forse boetes tegemoet zien. Die komen dan nog naast de reputatieschade die ontstaat – in feite kan een nalatige toestand een bedrijf de kop kosten. Want de boetes zijn al een aanslag, maar wie gaat er nog een polis afsluiten bij een verzekeraar als die niet in staat is bijvoorbeeld de kennelijke medische toestand van klanten geheim te houden?

Een bedrijf kan het voortaan niet meer stilhouden als de data van zijn klanten, cliënten of patiënten op straat komen te liggen: de Wet Datalekken die per 1 januari 2016 van kracht is, verplicht de melding bij de Autoriteit Persoonsgegevens, ongeacht of die kwalijke gevolgen heeft gehad.

In de omgang met de strikte regels gaan de eerste gedachten uit naar de digitale opslag van gegevens. Zelfs de wearables moeten veilig zijn. Denk aan de slimme horloges van tegenwoordig die allerlei gezondheidsgegevens en gegevens over de fitheid verzamelen. En die data staan verspreid over verschillende websites in ´de cloud´, weliswaar beschermde servers, maar gehuisvest in openbare -locaties. Uit onderzoek door studenten van Tilburg Law School blijkt dat die sites toch ook onvoldoende zijn voorbereid op de nieuwe privacyregels.

Papier blijft

Vlak vooral niet uit hoeveel informatie binnen organisaties op papier rust. Onderzoek van de internationale beroepsorganisatie voor informatiemanagers AIIM (Association for Information and Image Management) laat zien dat veertig procent van de medewerkers op kantoor (ook als dat denkt ´digitaal´ te zijn) een voorkeur heeft voor papier. Ook blijkt dat veertig procent van de bedrijven hun facturen digitaal krijgt aangeleverd, maar dat 35 procent de rekeningen nog steeds afdrukt.

Een probleem van papier is dat een kopietje zo is gemaakt. Mensen nemen het mee naar huis om nog even door te nemen. Of het document ligt ‘ergens’ onderin een la. Of de papieren zijn niet goed gearchiveerd. Veel organisaties hebben werkelijk geen idee waar al die documenten rondslingeren, laat staan dat ze weten welke gevoelige informatie erin staat.

Gezond informatiebeheer

Datzelfde ´digitale´ kantoor, denkt dat de IT-afdeling privacyproblemen oplost met autorisaties en beschermde schijven. Maar feitelijk ontbreekt het daar juist aan een gezond informatiebeheer:

  • waar een cultuur heerst dat data ´heilig en waardevol´ zijn
  • waar de processen helder zijn
  • waar mensen op de hoogte zijn van en getraind zijn met de regels
  • waarin de omgang met informatie wordt gecontroleerd

Uit een studie van PwC en informatiemanager Iron Mountain blijkt dat 79 procent van de organisaties in de VS en Europa aangeeft precies te weten welke informatie ze waar bewaren. Maar de helft daarvan controleert niet of het klopt. 22 Procent van de organisaties heeft geen regels over het bewaren van papieren documenten en laat de behandeling ervan over aan het goeddunken van het de medewerkers. Bescherming van persoonsgegevens op papier begint met de erkenning dat bedrijfsregels nodig zijn hiervoor. Vervolgens kunnen organisaties beleid opstellen, uitvoeren en trainen.

Wie heeft welke informatie?

Het belangrijkst is natuurlijk te weten welke informatie een organisatie in huis heeft. Zelfs dat niet alleen: ook wat bij medewerkers thuis is, moet bekend zijn in een tijd van ´tijds- en plaatsonafhankelijk werken´ en ´bring your own device´ (BYOD). De nieuwe wet geeft mensen immers het recht ‘vergeten te worden’. Bedrijven moeten gevolg geven aan een verzoek om persoonlijke informatie te vernietigen – ook op de eigen laptop en thuiswerkplek.

  1. Een goede werkwijze om volgens de wet- en regelgeving om te gaan met (papieren) informatie is om te beginnen met vaststellen welke afdelingen het meest waarschijnlijk ´persoonlijk herleidbare informatie´ (PHI) onder hun beheer hebben.
  2. Dáár moet je beginnen met bijvoorbeeld het scannen van alle documenten en ervoor zorgen dat papieren veilig en vindbaar worden opgeslagen.
  3. Dat betekent dat er een helder archiveringssysteem moet zijn voor dossiers: met labels, beschrijvingen – zeg maar: de metadata – op mappen en dozen.
  4. Leg ook vast wie toegang heeft tot die documenten.
  5. Zorg voor duidelijke toegangsrechten en verantwoordelijkheden.

Dit geldt voor digitale en papieren informatie: beide kennen hun grote gevoeligheden en verdienen een goed beleid.

Dubbelleven

Papier leidt vaak een ‘dubbelleven’ leidt. Natuurlijk is het belangrijk heldere informatiebeheerprocessen in te regelen: van aanmaak tot en met vernietiging. Maar er komt meer bij kijken. Papier is dun en glipt makkelijk tussen de mazen van de afspraken heen en zwerft dan rond in de vorm van kopieën en afdrukken. Zelfs buiten het bedrijf. Uit het jongste onderzoek dat Iron Mountain samen met PwC heeft uitgevoerd – weergegeven in het Privacy and Security Enforcement rapport – blijkt dat menselijk falen de hoofdoorzaak is bij incidenten waarbij de persoonsbescherming in het geding is.

Het is een aanrader om de informatiebeheerprocessen en het –beleid te ondersteunen met regelmatig terugkerende training van medewerkers: over het wat en hoe van de eigen bedrijfscultuur de regels aangaande bescherming van informatie, en welke verantwoordelijkheden er zijn.

Werkprocessen

GDPR schrijft voor dat bescherming van persoonsgegevens uitgangspunt moet zijn bij het creëren van informatie, het beheer ervan en de uiteindelijke vernietiging ervan. Het is niet iets dat je achteraf gaat regelen, hoewel met de vlotte eerste invoer nu, en de overgangssituatie tot volledige invoer in 2018 onvermijdelijk is.

Digitaal is dit uitgangspunt onder meer te regelen met digital rights management, het toegangsbeheer. Maar dit principe geldt ook voor papier. Dan komt het er eigenlijk op neer dat je de werkprocessen vooral goed regelt. En daarin kan de digitale wereld nog wat leren van de papieren wereld. Het is zo dat papier makkelijk dupliceert en slingert. Maar een aangehecht patiëntendossier per e-mail, gaat over vele (harde) schijven en laat daar vaak een kopieën achter.

Wat betreft de slag van digitaal naar papier en vice versa moet goed geregeld zijn wie documenten mag manipuleren: inlezen, afdrukken, kopiëren en archiveren. Dit is bijvoorbeeld in te stellen in de Active Directory waarin in Windows de rechten worden geregeld. Er zijn bovendien printers en kopieermachines die alleen maar werken voor diegenen die er toegang toe hebben; en systemen die pas met een document komen als de betrokken persoon ter plekke is. Het is zaak ervoor te zorgen dat papier niet gaan zwerven. Dat betekent dus ook dat je moet regelen dat iemand wel of niet een via e-mail gestuurd document thuis mag afdrukken.

Niet negeren

Alle datalekken, ransomware die een computer infecteert en gijzelt, ongebreidelde koppeling van bestanden en gebrekkige cybersecurity hebben uiteindelijk geleid tot deze GDPR. De digitale wereld is de aanleiding geweest. Dat betekent dat er in de regelgeving zaken zitten die niet van toepassing zijn op de papieren documenten.

De meeste adviezen over hoe om te gaan met de nieuwe regelgeving, hebben te maken met de digitale processtromen en IT-beveiliging, maar het is onverantwoord papier hierbij links te laten liggen. Wereldwijd zijn er immens grote archieven die bewaard moeten worden maar nauwelijks worden geraadpleegd. Die geringe belangstelling zorgt ervoor dat het erg kostbaar is om alle documenten te digitaliseren en simpel af te sluiten zijn met toegangsrechten, dus moet elke organisatie er rekening mee houden dat zij zorgvuldig omspringt met persoonlijke gegevens. Daarbij kan de goede omgang met papierendossiers ook uiterst leerzaam zijn voor de omgang met digitale documenten.

Wat is de GDPR ook al weer?

De General Data Protection Regulation (GDPR) is eind 2015 door de Europese Commissie aangenomen. Doel is persoonsgegevens te beschermen. De wetgeving is opvolger van de Safe Harbor regelgeving die dataprotectie tussen Europa en de VS beschreef. Het Europese Hof van Justitie heeft deze regeling in oktober 2015 ongeldig verklaard. Uit de getuigenissen van Snowden is immers gebleken dat de Amerikaanse veiligheidsdiensten feitelijk onbeperkt toegang hebben tot de informatie die is opgeslagen bij de grote cloud-providers, ondanks alle weerstand van bijvoorbeeld Microsoft, Google, Amazon en IBM.

GDPR gaat over de beveiliging en het beheer van persoonlijke gegevens, zowel van klanten als van medewerkers. De Meldplicht datalekken die ingevoerd is in 2016, is er onderdeel van. In eerste instantie geldt de GDPR voor organisaties met meer dan 250 werknemers die meer dan vijfduizend records per jaar verwerken. Later is de wetgeving ook van toepassing op het midden- en kleinbedrijf, ongeacht hun grootte en het aantal records dat ze verwerken.

Bedrijven zijn altijd en overal verantwoordelijk voor de data die ze vergaren, bewerken en opslaan. Als je een provider of een andere derde partij inschakelt voor je databeheer moet je als data-eigenaar continu de veiligheid van die data bewaken en je ervan verzekeren dat de veiligheidsmaatregelen van die technologiepartner afdoende zijn. Dit geldt ook voor gegevens die aan papier zijn toevertrouwd. De hoge boetes kunnen oplopen tot vier procent van de wereldwijde omzet van een overtreder.

Iron Mountain (NYSE: IRM) is wereldleider op het gebied van informatiebeheer en archiefopslag. De diensten die Iron Mountain biedt op het gebied van papieren en digitale informatiestromen, doen de kosten, risico´s en inefficiënties van klanten drastisch dalen.

Producttips

Ook interessant

De basisprincipes van digitaliseren
Download de gratis whitepaper