Europa heeft 15 december ingestemd met de nieuwe General Data Protection Regulation (GDPR). Invoer van de GDPR in de Europese landen moet op zijn laatst over twee jaar zijn gebeurd, maar Nederland loopt voorop. De GDPR is op bijna iedere organisatie van toepassing en de wet kent flinke boetes bij (onverhoopte) schending. De GDPR komt tegemoet
aan ´Het Recht om Vergeten te Worden´ en dat geldt voor alle dossiers, ook de papieren.
Informatiemanager Iron Mountain adviseert bedrijven die uit de problemen willen blijven, juist ook over deze prominent aanwezige papieren bestanden.
Het Europese parlement, de EU-raad en de EU-commissie hebben op 15 december 2015 ingestemd met
Europa’s nieuwe General Data Protection Regulation (GDPR). Dit betekent de grootste verandering in de
regelgeving voor de gegevensbescherming sinds de opkomst van het internet. De GDPR is van belangrijke
invloed op iedere organisatie die omgaat met gegevens van Europese oorsprong – van welke grootte of
waar ter wereld dan ook.
De hervormingen hebben tot doel tegemoet te komen aan de veranderende behoeften in de digitale
economie en de persoonsgegevens te beschermen. Iron Mountain voorziet dat deze hervorming met
name op papieren informatie lastig door te voeren is, en geeft daarom richtlijnen die helpen tegemoet te
komen aan belangrijke onderdelen van de GDPR:

1 Weet álle informatie te vinden.
De EU-GDPR vereist dat bedrijven en organisaties informatie tijdig anoniem maken of vernietigen.
Voorwaarde is te weten wat er in huis is. De wetswijziging geeft burgers ´het recht om vergeten te
worden´ en bedrijven moeten gevolg geven aan het verzoek om persoonlijke dossiers te vernietigen.
Bij digitale informatie schuilt het gevaar erin dat er (onbedoelde) kopieën op verschillende netwerk- en
lokale schijven slingeren, bijvoorbeeld in de email.
Met papieren documenten wordt het pas echt lastig. Onderzoek van Iron Mountain liet eerder zien dat
een kwart van de bedrijven en (overheids-) organisaties (22 procent) geen archiveringsbeleid heeft en
medewerkers naar eigen inzicht laat werken. Als de informatie voorhanden is, is het vaak lastig die te
bewerken.
Iron Mountain adviseert te bepalen welke afdelingen het meest waarschijnlijk ´Persoonlijk Herleidbare
Informatie´ (PHI) onder hun beheer hebben en die als eerste op de lijst zetten voor het scannen en de
externe beveiligde opslag van de papieren. Daarnaast luidt het advies om een helder archiverings- en nummeringssysteem voor dossiers op te zetten, met labels, beschrijvingen (metadata) op mappen en
dozen, met duidelijke toegangsrechten en verantwoordelijkheden.

2 Papier leidt een dubbelleven…
Heldere informatie-beheerprocessen, van aanmaak tot
vernietiging, zijn een goed begin, maar papier is dun en glipt makkelijk door de mazen van de afspraken
heen en zwerft dan rond in de vorm van rondslingerende afdrukken en kopieën, ook buiten de vestiging.
In het jongste ´Privacy and Security Enforcement´-rapport**, laat PwC zien dat menselijk falen de
hoofdoorzaak is bij incidenten waarbij de gegevensveiligheid in het geding is.
Iron Mountain adviseert informatiebeheer-processen en -beleid te ondersteunen met regelmatige
training van medewerkers, over het wat en hoe van een bedrijfscultuur waarin informatieverantwoordelijkheid
heerst.

3 ´Privacy in uitvoering´.
De GDPR wil dat bescherming van de persoonlijkheidssfeer vooraf wordt
meegenomen, voordat informatie wordt geproduceerd, beheerd en weer vernietigd. Voor papier betreft
dit vooral de werkprocessen. Iron Mountain adviseert het praktisch onmogelijk te maken dat
onbevoegden documenten met persoonsinformatie kopiëren, afdrukken en scannen. Processen voor de
informatie-opslag, -bewaring, en –vernietiging, moeten worden herzien, met de persoonlijkheidssfeer
voor ogen.

4 Sommige regels niet toepasselijk.
Bepaalde elementen uit de GDPR, zoals over de gegevensoverdracht, zijn amper toepasselijke op papieren documenten, en dat is soms een voordeel. De eisen voor grootschalige en robuuste computerbeveiliging tegen cyber-hacks, zijn onnodig voor papier.
”Er is een boel advies in omloop over hoe om te gaan met de nieuwe GDPR-regelgeving, maar dat
beperkt zich allemaal tot elektronische data en IT-beveiliging. Het is onverantwoord om papier links te
laten liggen”, zegt Jeroen Strik, directeur van Iron Mountain Benelux. ”Zolang 123inkt bestaat heeft de
digitalisering het papier niet vervangen, om over de immense archieven maar te zwijgen. Scannen van
sporadisch gebruikte archieven is kostbaar. Kortom: neem papier mee in de omgang met de GDPR.
Daarbij komt: wie zijn papieren-processen toepast op alle info, is goed bezig!”

Rate this post

Print Friendly