Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR in het vooruitzicht zijn veel bedrijven druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

De nieuwe Europese privacywetgeving stelt paal en perk aan ongebreidelde verwerking van persoonsgegevens en legt organisaties allerlei regels op waar die verwerking aan moet voldoen. Bovendien krijgen betrokkenen steeds meer controle over hun eigen persoonsgegevens, en daarmee hun eigen privacy. De AVG / GDPR maakt echter geen enkel onderscheid tussen digitale gegevens of die op papier. Data zijn data, en ongeacht de drager van die data moeten deze met zorgvuldigheid behandeld worden. Voor persoonsgegevens op papier gelden dus dezelfde strenge regels als voor digitale gegevens.

Privacymaatregelen? Vergeet het papier niet

De veelgebruikte ‘stripcut’ papiervernietigers, die het papier in rechte stroken snijdt, voldoet niet aan de nieuwe richtlijnen.

Digitale papiertijgers

Bijzondere aandacht verdienen digitale apparaten die papier verwerken en dit medium voorzien van persoonsgegevens. Denk aan printers, multifunctionals, scanners en kopieerapparaten. Deze apparaten hebben een tweeledig karakter. Jazeker, ze spugen papier en/of zorgen dat data op fysieke vellen terechtkomen. Maar de aansturing is volledig digitaal, en vaak bevat het apparaat zelfs een harde schijf waarop printopdrachten – en alle data die daarmee gepaard gaan – ‘tijdelijk’ worden bewaard. Anders gezegd: printers zijn net zo goed computersystemen vol data. En verdienen dus dezelfde aandacht. Dat laatste aspect wordt vaak over het hoofd gezien.

Dergelijke ‘digitale papiertijgers’ zijn bovendien bijzonder kwetsbaar voor een datalek. Stel, een leidinggevende print een verslag uit van een functioneringsgesprek. De printer staat echter een verdieping lager, en hij of zij moet nadat de printer zijn werk gedaan heeft dit document dus fysiek gaan ophalen. In de tussentijd ligt het echter open en bloot in de papiertray, waar iedereen deze gevoelige persoonsgegevens kan inzien. Welbeschouwd kun je dan spreken van een datalek, met alle strenge AVG-consequenties van dien. Om van een mogelijk bedorven werksfeer nog maar te zwijgen.

Gekoppeld met het internet

Het is niet het enige risico van afdrukapparaten. Steeds meer van dergelijke machines zijn gekoppeld met het internet. Daar staan ze niet zelden open en bloot voor iedereen met een bovenmatige interesse in het onderscheppen van gevoelige gegevens. Van afstand kunnen onbevoegden in zo’n geval toegang tot het buffergeheugen, en hebben inzage in alle afgedrukte of nog af te drukken documenten die daar al dan niet tijdelijk zijn opgeslagen. Er is zelfs een aparte zoekmachine die deze onbeveiligde, verbonden apparaten opspoort: Shodan. Makkelijker kun je het met een onbeveiligd afdrukapparaat een hacker dus niet maken.

Een ander risico ontstaat op het moment dat deze apparaten bij het grofvuil worden gezet. Eventueel nog aanwezige persoonsgegevens belanden dan vrijwel letterlijk ‘op straat’. Ook dan mag je rustig spreken van een datalek.

Papieren archief

Ook het papieren archief valt doorgaans niet binnen de scope van de compliance-werkzaamheden. Toch zijn ook de kasten en lades vol arbeidscontracten, opdrachtovereenkomsten en logs van werkzaamheden bronnen van persoonsgegevens. Deze gegevens vallen dus onder exact dezelfde regels als digitale data. Ook voor papieren archieven geldt dus: zorg voor een goede indexering en metadatering, zodat bij een mogelijk verzoek tot verwijdering de betrokken persoonsgegevens snel opgespoord en vernietigd kunnen worden. In tegenstelling tot een digitale dienst is een ‘handige zoekfunctie’ immers niet aanwezig en kan de speurtocht naar persoonsgegevens in een warrig archief vele uren of zelfs dagen in beslag nemen. Met alle kosten (en kantontevredenheid) van dien.

En ook hier geldt: weet wie toegang heeft tot welke ‘papieren’ persoonsgegevens, welke verwerkingen hierop plaatsvinden en met welk doeleinde dat gebeurt. Ook papier verdient een plaats in het verwerkingsregister. Denk ook aan de fysieke toegangsbeveiliging tot ruimtes waar de archief is gehuisvest. Het archief fysiek openstellen voor jan en alleman is uiteraard vragen om problemen.

Papierbakken

Een andere bron van datalekken zijn simpelweg papier- en prullenbakken. Vellen met persoonsgegevens worden niet zelden achteloos weggegooid. Een enkeltje shredder is voor afgedankte documenten vaak geen overbodige luxe.

Stripcut voldoet niet

De AVG stelt wel eisen aan die shredder. De veelgebruikte ‘stripcut’ papiervernietigers, die het papier in rechte stroken snijdt, voldoet niet aan de nieuwe richtlijnen. Deze stroken kunnen namelijk met enig geduld en inzicht weer aan elkaar geplakt worden. Het gebruik van een shredder met P3- of P4-beveiligingsniveau is daarom verplicht. Dit zijn zogeheten ‘crosscut’ shredders die papier in 200 of 400 snippers verdelen. Voor organisaties die met zeer gevoelige persoonsgegevens werken, raadt de AVG zelfs het gebruik van een P5-versnipperaar aan. Deze machines bewerken een A4’tje tot maar liefst 2000 stukjes. Daar kan zelfs de meest ijverige kwaadwillende geen chocola meer van maken.

Nog niet te laat

De nieuwe privacywetgeving laat niet lang meer op zich wachten. Maar het is nog niet te laat. Zorg dat ook je papieren datahuishouding op orde is en voorkom complianceproblemen, of erger.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.