Nieuws
Vier op de tien MKB-ers hamsteren gegevens
27 juni 2016 - Ook voor MKB-bedrijven is de race tegen de klok begonnen om tijdig te voldoen aan Europa´s nieuwe General Data Protection Regulation (EU GDPR). Pas nu dringen de problemen werkelijk door, blijkt uit recent onderzoek van informatiemanager Iron Mountain door de consultants van PwC.
Schijfruimte is goedkoop en papier is geduldig: liefst 41 procent denkt op veilig te spelen door alles te bewaren. Maar hamsteren van gegevens is geen volwassen bewaarbeleid. Data-hamsteren is juist de oorzaak van schending van de privacy-regels.Levensbedreigende kwestie
Schending van de nieuwe EU GDPR-regelgeving is zonder overdrijving een levensbedreigende kwestie: de boetes belopen vier procent van de wereldwijde omzet, of tot twintig miljoen euro, waarbij de hoogste van de twee toepasselijk is.
De gegevens-hamsterende MKB-ers in het onderzoek geven als doel aan, om:
- waarde uit die gegevens te willen putten (89 procent);
- een vangnet te willen hebben in het woekerende woud aan regels en wetten (87 procent); en om
- te kunnen voldoen aan justitiële verzoeken om inzage in elektronische gegevens (e‑discovery, 42 procent).
Ruim één op de tien (elf procent) onderzochte bedrijven laat daarbij de wettelijke bewaartermijnen volledig links liggen. Dat maakt het praktisch onmogelijk de privacygevoelige informatie te vinden die niet eeuwig bewaard mág worden, terwijl het risico op zware sancties toch al groot genoeg is. Zo bepaalt artikel 23 van de EU GDPR dat alle soorten informatie moeten worden ingeboekt op hun moment van aanmaak, van WhatsApp-jes tot e‑mails, en van offertes tot officieuze contracten.
Individuele willekeur
Zonder beleid, processen en richtlijnen laten bedrijven beslissingen over de bewaring van gegevens, in feite over aan hun individuele medewerkers, en daarmee stellen zij zich bloot aan toenemende risico´s. Wereldwijd onderzoek van de vereniging voor informatieprofessionals AIIM, laat zien dat meer dan de helft van de onderzochte bedrijven (55 procent) zijn medewerkers hun e-mails naar eigen goeddunken laat bewaren of verwijderen. Dat maakt het onmogelijk te bewijzen dat gevoelige informatie volgens de regels is verwijderd.
PHI: Persoonlijk Herleidbare Informatie
"Dat het MKB aan het gegevens-hamsteren is geslagen, verbaast me niks," zegt Jeroen Strik, directeur van Iron Mountain in België en Nederland. "De markt is uiterst concurrerend. Ondertussen kampen deze bedrijven met verschillende regels, die toepasselijk zijn op verschillende soorten informatie en die verschillen in de landen. Dat maakt de reflex begrijpelijk. Maar juist als het gaat om PHI, de Persoonlijk Herleidbare Informatie, dan bevinden ze zich nu in een onhoudbare en onverantwoorde situatie en lopen ze grote risico´s. Informatie van afgewezen sollicitanten, mag je bijvoorbeeld maar kort bewaren. Maar het is ook riskant om informatie te snel te verwijderen. Dat geldt bijvoorbeeld voor e‑mailcorrespondentie, medische dossiers, en veiligheidsrapporten die kunnen worden opgevraagd in juridische procedures."
"Vanaf 2018 moeten bedrijven aantonen dat ze hun informatie van een einddatum van bewaring voorzien. Dat maakt het noodzakelijk te weten wat je waar aan informatie hebt en hoe lang je gerechtigd bent een en ander te bewaren. Iron Mountain is groot geworden in het archiveren van papieren dossiers en daarbij is dat standaardroutine voor klanten. Dergelijke discipline is nu weer actueel geworden en passen we ook toe op digitale dossiers. We adviseren MKB-ers om extern advies in te winnen. Dat voorkomt risico´s en zorgt dat gegevens de waarde opleveren die zij zoeken."
Extern advies
Iron Mountain en PcW ontdekten dat bedrijven ouder dan tien jaar de grootste gegevens-hamsteraars zijn (57 procent), terwijl jonge bedrijven de geadviseerde deskundigheid wel inhuren: ruim een derde (35 procent) wint juridisch advies in en handelt daarnaar, en een kleine derde (29 procent) laat de materie van de bewaartermijnen over aan een derde partij. Doorsturen | Reageer | Nieuwsbrief