Op 25 mei 2018 ging de Algemene Verordening Gegevensbescherming (AVG) (in het engels General Data Protection Regulation (GDPR)) van kracht, met een pakket aan nieuwe regels voor het verzamelen, bewaren en verwerken van alle soorten persoonlijke gegevens van burgers in de EU. Dit betekent dat alle bedrijven die gegevens van EU-burgers bewaren, aan de regels moeten voldoen. De AVG haalde de voorpagina's vanwege het aantal e-mails dat mensen ontvingen van bedrijven die hun mailinglijsten moesten bijwerken en toestemming nodig hadden. Daarnaast werden ook de privacy- en cookie-instellingen op websites herzien.
Het is echter belangrijk te vermelden dat de AVG bedoeld was om te helpen bij het bewaren en verwerken van alle soorten persoonlijke gegevens. Een van de belangrijkste factoren in de AVG-regelgeving is dat bedrijven een veel strengere aanpak moeten hanteren met betrekking tot gegevenslekken en de veilige opslag van informatie. Als ze dat niet doen, kunnen bedrijven boetes krijgen tot € 20 miljoen of vier percent van hun wereldwijde omzet (naargelang welke van beide het hoogst is).
Dit betekent onvermijdelijk dat bedrijven moeten voorkomen dat gegevens verloren gaan of gestolen worden. Een van de belangrijkste manieren om dit te doen, is begrijpen hoe en waar gegevens worden opgeslagen en hoe deze worden vernietigd. In dit artikel bespreken we een aantal dingen die u moet weten om ervoor te zorgen dat uw benadering van gegevensvernietiging voldoet aan de regels van de GDPR.
Kijk waar uw gegevens zich bevinden – vergeet fysieke documenten niet!
Het is cruciaal dat u een plan opstelt om ervoor te zorgen dat u gegevens op een correcte manier verwerkt, bewaart en vernietigt. De eerste stap in dit proces is een overzicht krijgen van uw hele organisatie, zodat u ten volle begrijpt hoe en waar gegevens worden verwerkt. Dat lijkt misschien eenvoudig, maar als u in detail treedt zult u merken dat het veel complexer is dan u dacht.
U gaat er in eerste instantie mogelijk van uit dat alle gegevens op een interne server zijn opgeslagen. Het is echter heel waarschijnlijk dat er zich ook op een aantal andere plaatsen gegevens bevinden, zoals eigen apparaten die niet verbonden zijn met de server (zoals privé laptops, tablets en smartphones van werknemers). Gegevens kunnen ook worden afgedrukt en op papier worden bewaard, zonder echte procedure om dergelijke gegevens veilig te vernietigen wanneer deze niet meer nodig zijn. Dit kan een groot probleem vormen voor de naleving van de AVG. De Avis Budget Group had bijvoorbeeld een grote hoeveelheid papieren documenten die gedigitaliseerd moesten worden voor conformiteit. Met een snelheid van 150 pagina's per minuut duurde het twee weken om over te schakelen van papier naar cloudopslag. U vindt de casestudy hier.
1. Advies over het veilig vernietigen van documenten
Voor uw volgende stap moet u een beleid voor het vernietigen van papieren documenten opstellen. Dit moet goed worden uitgelegd aan werknemers, met de nadruk op waarom ze dit moeten volgen. U kunt bijvoorbeeld op verschillende plaatsen op de werkplek een poster ophangen waarop wordt uitgelegd hoe, wanneer en waarom documenten moeten worden vernietigd.
Het beleid moet vermelden dat werknemers documenten en media moeten vernietigen in versnippersystemen waar niemand toegang kan krijgen tot de documenten nadat ze gedeponeerd zijn. U kunt een beroep doen op externe specialisten om de documenten te vernietigen. In de meeste gevallen bieden bedrijven een service aan waarbij ze dit ter plaatse doen voor de hoogste beveiligingsniveaus.
2. Is er een snippergrootte die voldoet aan de AVG?
De AVG bepaalt geen specifieke grootte voor documentsnippers om te voldoen aan de regelgeving. Als u samenwerkt met een gerenommeerd documentvernietigingsbedrijf, gebruiken zij doorgaans industriële apparatuur voor het vernietigen en versnipperen van documenten in overeenstemming met standaardregels en best practices. Deze methode verdient de voorkeur boven de tijd van uw eigen werknemers verspillen door hen individuele documenten te laten versnipperen met een gewone papierversnipperaar.
3. De juiste dienst voor documentvernietiging kiezen
Doe voldoende onderzoek naar de dienst voor documentvernietiging waarop u een beroep doet. Zorg ervoor dat u het proces volledig begrijpt en dat ze eerlijk en transparant zijn. Zorg dat u weet waar het afval naartoe gaat, of het ter plaatse vernietigd wordt en, indien niet, waar de documenten dan wel vernietigd worden.
De AVG omvat veel meer dan de vernietiging van fysieke documenten, want de regels zijn ook van toepassing op de opslag van alle soorten persoonlijke gegevens. Fysieke documenten worden echter vaak over het hoofd gezien bij het naleven van de AVG en daarom is het belangrijk dat u de tijd neemt om de processen die uw bedrijf gebruikt te begrijpen en deze dienovereenkomstig bijwerkt.
Meer tips over hoe u kunt voldoen aan de AVG vindt u in ons laatste artikel: Lessen in digitale transformatie van een Data Protection Officer (DTO) na GDPR.
Opmerking: Dit blogartikel werd geschreven door een externe medewerker om onze lezers een gevarieerder aanbod te geven. De standpunten die worden uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.