Iron Mountain: vier op de tien MKB-ers hamsteren gegevens

Ook MKB-bedrijven moeten voldoen aan Europa´s nieuwe General Data Protection Regulation (EU GDPR). De problemen beginnen door te dringen, blijkt uit onderzoek van informatiemanager Iron Mountain door de consultants van PwC. Liefst 41% van de onderzochte MKB-bedrijven hamstert gegevens en denkt daarmee op veilig te spelen. Maar alles bewaren is geen volwassen bewaarbeleid. Data-hamsteren is juist de oorzaak van schending van de privacy-regern

Iron Mountain heeft, geheel vrijblijvend, een gids met praktische richtlijnen voor en advies over de omgang met de EU GDPR opgesteld. (Engelstalig, de Nederlandse versie is in productie.)

rn

Schending van de nieuwe EU GDPR-regelgeving is zonder overdrijving een levensbedreigende kwestie: de boetes belopen vier procent van de wereldwijde omzet, of tot 20 miljoen euro, waarbij de hoogste van de twee toepasselijk is.

rn

De gegevens-hamsterende MKB-ers in het onderzoek geven als doel aan, om:

rn

- waarde uit die gegevens te willen putten (89%);
rn- een vangnet te willen hebben in het woekerende woud aan regels en wetten (87%); en om
rn- te kunnen voldoen aan justitiële verzoeken om inzage in elektronische gegevens (e-‘discovery, 42%).

rn

Ruim één op de tien (11%) onderzochte bedrijven laat daarbij de wettelijke bewaartermijnen volledig links liggen. Dat maakt het praktisch onmogelijk de privacygevoelige informatie te vinden die niet eeuwig bewaard mág worden, terwijl het risico op zware sancties toch al groot genoeg is. Zo bepaalt artikel 23 van de EU GDPR dat alle soorten informatie moeten worden ingeboekt op hun moment van aanmaak, van WhatsApp-jes tot e-‘mails, en van offertes tot officieuze contracten.

rn

Individuele willekeur
rnZonder beleid, processen en richtlijnen laten bedrijven beslissingen over de bewaring van gegevens, in feite over aan hun individuele medewerkers, en daarmee stellen zij zich bloot aan toenemende risico´s. Wereldwijd onderzoek  van de vereniging voor informatieprofessionals AIIM, laat zien dat meer dan de helft van de onderzochte bedrijven (55%) zijn medewerkers hun e-mails naar eigen goeddunken laat bewaren of verwijderen. Dat maakt het onmogelijk te bewijzen dat gevoelige informatie volgens de regels is verwijderd.

rn

PHI: Persoonlijk Herleidbare Informatie
rn”Dat het MKB aan het gegevens-hamsteren is geslagen, verbaast me niks”, zegt Jeroen Strik, directeur van Iron Mountain in België en Nederland. ”De markt is uiterst concurrerend. Ondertussen kampen deze bedrijven met verschillende regels, die toepasselijk zijn op verschillende soorten informatie en die verschillen in de landen. Dat maakt de reflex begrijpelijk. Maar juist als het gaat om PHI, de Persoonlijk Herleidbare Informatie, dan bevinden ze zich nu in een onhoudbare en onverantwoorde situatie en lopen ze grote risico´s. Informatie van afgewezen sollicitanten, mag je bijvoorbeeld maar kort bewaren. Maar het is ook riskant om informatie te snel te verwijderen. Dat geldt bijvoorbeeld voor e-‘mailcorrespondentie, medische dossiers, en veiligheidsrapporten die kunnen worden opgevraagd in juridische procedures.”

rn

”Vanaf 2018 moeten bedrijven aantonen dat ze hun informatie van een einddatum van bewaring voorzien. Dat maakt het noodzakelijk te weten wat je waar aan informatie hebt en hoe lang je gerechtigd bent een en ander te bewaren. Iron Mountain is groot geworden in het archiveren van papieren dossiers en daarbij is dat standaardroutine voor klanten. Dergelijke discipline is nu weer actueel geworden en passen we ook toe op digitale dossiers. We adviseren MKB-ers om extern advies in te winnen. Dat voorkomt risico´s en zorgt dat gegevens de waarde opleveren die zij zoeken.”

rn

Extern advies
rnIron Mountain en PcW ontdekten dat bedrijven ouder dan tien jaar de grootste gegevens-hamsteraars zijn (57%), terwijl jonge bedrijven de geadviseerde deskundigheid wel inhuren: ruim een derde (35%) wint juridisch advies in en handelt daarnaar, en een kleine derde (29%) laat de materie van de bewaartermijnen over aan een derde partij. Praktische richtlijnen voor en advies over de omgang met de EU GDPR biedt: http://bit.ly/28RX8Ud (Engelstalig, de Nederlandse versie is in productie.)

rn 

Andere persberichten