6 juli 2016

Personeel en papier – Wat ligt waar en moet weg? –

image for Personeel en papier – Wat ligt waar en moet weg? – image

De nieuwe regels zijn begin 2018 vol van kracht en vormen de belangrijkste aanpassing in de wetgeving op het gebied van gegevensbescherming sinds de opkomst van het internet. De aanpassingen die de EU GDPR met zich meebrengt, komen tegemoet aan de veranderende behoeften in de digitale economie en beschermen de persoonlijkheidssfeer van wie de data betreffen. Keerzijde is dat de nieuwe regels lastig toepasbaar zijn op informatie die is vastgelegd op papier.

De nieuwe regels zijn begin 2018 vol van kracht en vormen de belangrijkste aanpassing in de wetgeving op het gebied van gegevensbescherming sinds de opkomst van het internet. De aanpassingen die de EU GDPR met zich meebrengt, komen tegemoet aan de veranderende behoeften in de digitale economie en beschermen de persoonlijkheidssfeer van wie de data betreffen. Keerzijde is dat de nieuwe regels lastig toepasbaar zijn op informatie die is vastgelegd op papier. Als medewerkers digitale gegevens ook afdrukken en met de papieren versie aan de wandel gaan, om ze bijvoorbeeld thuis rustig door te nemen, is het hek helemaal van de dam.

Papier blijft hot
Informatiemanagers als Iron Mountain merken in de praktijk dat organisaties dit probleem onderschatten. Dat wordt versterkt nu de zakelijke omgeving sterk digitaliseert en de IT-systemen met elkaar verbonden raken.
Ten eerste blijken bedrijven en instanties zich vaak niet bewust hoeveel informatie op papier ze dagelijks produceren en wordt gebruikt door hun medewerkers. Volgens de (internationale) beroepsvereniging AIIM, geeft 40 procent van de kantoormedewerkers er nog altijd de voorkeur aan om de belangrijkste informatie op papier te bewaren en gebruiken. Daarnaast zegt bijvoorbeeld 40 procent van de organisaties dat zij hun facturen nu elektronisch krijgen aangeleverd – maar staat 35 procent het toe dat die nog worden afgedrukt.
Ten tweede hebben veel bedrijven solide informatiebeheerprocessen ingevoerd, maar zij controleren meestal niet of deze processen ook effectief zijn. In een onderzoek met PwC ontdekten we dat 79 procent van de middelgrote ondernemingen in Europa en Noord-Amerika gedetailleerde inventarislijsten hebben met de informatie waarover zij beschikken en waar die wordt bewaard. Maar ongeveer de helft controleert niet of die lijsten kloppen.

Ontbrekend beleid
Menselijk gedrag past meestal niet netjes binnen het proces. Mensen vergeten, negeren of vermijden richtlijnen die te ingewikkeld of beperkend zijn, en behandelen papieren documenten op een manier die de goede bedoelingen ondermijnt van het information governance team, dat moet zorgen voor de naleving van de wet- en regelgeving.
Voor bedrijven die géén processen hebben vastgelegd, zijn de risico´s nog groter. Iron Mountain-onderzoek toont aan dat bijna een kwart (22 procent) van de bedrijven geen beleid heeft voor het bewaren van papier en dat medewerkers voor zichzelf mogen besluiten wat ze doen. Dan is het onwaarschijnlijk dat er iemand of een afdeling het complete overzicht heeft van welke informatie waar is opgeslagen en of die opslag beveiligd is.

Dubbelleven
Daarbij komt het feit dat papier een dubbel- of zelfs een driedubbelleven kan leiden:

  • Het kan veelvuldig gekopieerd zijn door verschillende mensen en makkelijk van de werkplek worden meegenomen. Vaak gebeurt dit door ijverige medewerkers die werk met zich meenemen naar huis en door nieuwe of tijdelijke medewerkers die zich niet bewust zijn van wat vertrouwelijke of gevoelige informatie is. 
  • Het kan ook een teken van overbelaste medewerkers zijn die het aan tijd ontbreekt om informatie netjes te be heren.
  • Soms komt wanbeheer van informatie voort uit een gebrek aan goede wil, gezond verstand, of onnadenkendheid. 

Met de komst van de nieuwe wet, moeten werkgevers nu de vereisten van de GDPR doorvoeren. Eén aspect daarvan is bijvoorbeeld ‘het recht om vergeten te worden’: persoonlijk herleidbare informatie (PHI) heeft een houdbaarheidstermijn gekregen en moet op gegeven moment worden vernietigd. Instanties komen er dan achter dat bestanden hardnekkig blijven voortbestaan, bijvoorbeeld op papier in een lade van het thuiskantoor van een medewerker. Oude versies van de werkelijkheid bestaan voort na het wijzigen van de digitale bronbestanden en dus ook na vernietiging op de schijf.

Incidenten
De kwetsbare situatie die de combinatie van papier en personeel oplevert, heeft al veel ernstige incidenten en datalekken opgeleverd. Nieuw is dat de boetes voor data lekken significant worden verhoogd met de invoering van de Europese GDPR.
Het jaarlijkse ‘Privacy and Security Enforcement’-rapport van PwC, biedt een fascinerend inzicht in de manieren waarop medewerkers op papier bewaarde gegevens in gevaar kunnen brengen. Incidenten in 2014 betroffen onder andere:

  • een doos waarin informatie zat over moord en kindermisbruik die was achtergelaten nadat een politiebureau was verhuisd; 
  • een maatschappelijk werker die gevoelige cliëntdossiers op het autodak had gelegd en kwijtraakte bij het wegrijden; 
  • een makelaar die de paspoort- en belastinggegevens van een klant weggooide en in een doorzichtige vuilniszak aan de straat zette; en 
  • een psychiatrisch adviseur die op de fiets naar huis een tas met gevoelige persoonlijke gegevens verloor. 

Informatieverantwoordelijkheid
Daarom adviseert een goede informatiemanager zijn bedrijf of klant om ervoor te zorgen dat het formele informatiebeleid en de informatieprocessen worden ondersteund met adequate, regelmatige training en een communicatieprogramma voor medewerkers. Alleen zo maken medewerkers zich eigen hoe ze informatie veilig behandelen en bijdragen aan een bedrijfsbrede cultuur van informatieverantwoordelijkheid.
Gegevensbeschermingsmaatregelen slagen dus alleen wanneer elke medewerker begrijpt wat als ‘persoonlijk en vertrouwelijk’ moet worden beschouwd én hoe daarmee om te gaan. Daarnaast hebben bedrijven en instanties een zorgplicht: alleen gerechtigde personen mogen toegang hebben tot persoonlijk herleidbare informatie (PHI) en kunnen die kopiëren.
Ook moeten alle processen met betrekking tot de opslag, bewaartermijnen en vernietiging worden geëvalueerd en waar nodig worden aangepast ter bescherming van de persoonlijkheidssfeer.

Waar moet wat weg?
Onderschatten werkgevers wel eens hoe snel hun informatie op papier ‘aanjongt’, veel bedrijven hebben ook enorme papieren archieven opgebouwd die decennia teruggaan. Daar zit informatie bij waartoe het bedrijf gerechtigd is om daarover te beschikken. Maar evenzogoed zit er veel informatie bij die al had moeten worden verwijderd.
Met de GDPR voor de deur is het belangrijker dan ooit om te weten wat u waar en bij wie in huis heeft; hoe u erbij kunt komen wanneer u het nodig heeft; en wanneer u het veilig moet vernietigen, dat wil zeggen: volledig en definitief.

j.strik@ironmountain.nl, Jeroen Strik is managing director Benelux bij Iron Mountain.


Koppelingen: