Naar inhoud

Grote privacy-problemen voorzien in het mkb

Ook voor bedrijven in het midden- en kleinbedrijf is de race tegen de klok begonnen om tijdig te voldoen aan Europa´s nieuwe General Data Protection Regulation (EU GDPR). Maar pas nu dringen de problemen werkelijk door. Schijfruimte is goedkoop en papier is geduldig, dat wordt gedacht. Liefst 41 procent denkt op veilig te spelen door alles te bewaren. Maar hamsteren van gegevens is geen volwassen bewaarbeleid. Data-hamsteren is juist de oorzaak van schending van de privacy-regels.

Nieuwe Europese richtlijnen

Dit blijkt uit recent onderzoek uitgevoerd door consultantancybureau PwC in opdracht van informatiemanager Iron Mountain. Schending van de nieuwe EU GDPR-regelgeving is zonder overdrijving een levensbedreigende kwestie. De boetes belopen vier procent van de wereldwijde omzet, of tot 20 miljoen euro, waarbij de hoogste van de twee toepasselijk is.

Hamsteren van gegevens

De gegevens-hamsterende mkb-ers in het onderzoek geven aan dit te doen met de volgende doelen:

  • waarde uit die gegevens te willen putten (89%);

  • een vangnet te willen hebben in het woekerende woud aan regels en wetten (87%);

  • te kunnen voldoen aan justitiële verzoeken om inzage in elektronische gegevens (e-discovery (42%).

Wettelijke bewaartermijnen

Ruim één op de tien (11%) onderzochte bedrijven laat daarbij de wettelijke bewaartermijnen volledig links liggen. Dat maakt het praktisch onmogelijk de privacygevoelige informatie te vinden die niet eeuwig bewaard mág worden, terwijl het risico op zware sancties toch al groot genoeg is. Zo bepaalt artikel 23 van de EU GDPR dat alle soorten informatie moeten worden ingeboekt op hun moment van aanmaak, van WhatsApp-jes tot e-mails, en van offertes tot officieuze contracten.

Toenemende bedrijfsrisico's

Zonder beleid, processen en richtlijnen laten bedrijven beslissingen over de bewaring van gegevens, in feite over aan hun individuele medewerkers, en daarmee stellen zij zich bloot aan toenemende risico´s. Wereldwijd onderzoekii van de vereniging voor informatieprofessionals AIIM, laat zien dat meer dan de helft van de onderzochte bedrijven (55%) zijn medewerkers hun e-mails naar eigen goeddunken laat bewaren of verwijderen. Dat maakt het onmogelijk te bewijzen dat gevoelige informatie volgens de regels is verwijderd.

Persoonlijke herleidbare informatie

Dat het mkb aan het gegevens-hamsteren is geslagen, verbaast me niks”, zegt Jeroen Strik, directeur van Iron Mountain in België en Nederland. “De markt is uiterst concurrerend. Ondertussen kampen deze bedrijven met verschillende regels, die toepasselijk zijn op verschillende soorten informatie en die verschillen in de landen. Dat maakt de reflex begrijpelijk. Maar juist als het gaat om PHI, de Persoonlijk Herleidbare Informatie, dan bevinden ze zich nu in een onhoudbare en onverantwoorde situatie en lopen ze grote risico's. Informatie van afgewezen sollicitanten, mag je bijvoorbeeld maar kort bewaren. Maar het is ook riskant om informatie te snel te verwijderen. Dat geldt bijvoorbeeld voor e-mailcorrespondentie, medische dossiers, en veiligheidsrapporten die kunnen worden opgevraagd in juridische procedures.”

Einddatum van bewaring

Vanaf 2018 moeten bedrijven aantonen dat ze hun informatie van een einddatum van bewaring voorzien”, vertrelt Strik. “Dat maakt het noodzakelijk te weten wat je waar aan informatie hebt en hoe lang je gerechtigd bent een en ander te bewaren. Wij zijn groot geworden in het archiveren van papieren dossiers en daarbij is dat standaardroutine voor klanten. Dergelijke discipline is nu weer actueel geworden en passen we ook toe op digitale dossiers. We adviseren mkb-ers om extern advies in te winnen. Dat voorkomt risico´s en zorgt dat gegevens de waarde opleveren die zij zoeken.”

Inhuren externe advies

De onderzoekers stellen vast dat bedrijven ouder dan tien jaar de grootste gegevens-hamsteraars zijn (57%), terwijl jonge bedrijven de geadviseerde deskundigheid wel inhuren. Ruim een derde (35%) wint juridisch advies in en handelt daarnaar, en een kleine derde (29%) laat de materie van de bewaartermijnen over aan een derde partij.

Een rapport met praktische richtlijnen voor en advies over de omgang met de EU GDPR kun je downloaden op de website van Iron Mountain.

0
Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie