Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR inmiddels achter ons zijn veel bedrijven nog altijd druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

De nieuwe Europese privacywetgeving stelt paal en perk aan ongebreidelde verwerking van persoonsgegevens en legt organisaties allerlei regels op waar die verwerking aan moet voldoen. Bovendien krijgen betrokkenen steeds meer controle over hun eigen persoonsgegevens, en daarmee hun eigen privacy. De AVG / GDPR maakt echter geen enkel onderscheid tussen digitale gegevens of die op papier. Data zijn data, en ongeacht de drager van die data moeten deze met zorgvuldigheid behandeld worden. Voor persoonsgegevens op papier gelden dus dezelfde strenge regels als voor digitale gegevens.

Privacymaatregelen? Vergeet het papier niet
De veelgebruikte ‘stripcut’ papiervernietigers, die het papier in rechte stroken snijdt, voldoet niet aan de nieuwe richtlijnen.

Digitale papiertijgers

Bijzondere aandacht verdienen digitale apparaten die papier verwerken en dit medium voorzien van persoonsgegevens. Denk aan printers, multifunctionals, scanners en kopieerapparaten. Deze apparaten hebben een tweeledig karakter. Jazeker, ze spugen papier en/of zorgen dat data op fysieke vellen terechtkomen. Maar de aansturing is volledig digitaal, en vaak bevat het apparaat zelfs een harde schijf waarop printopdrachten – en alle data die daarmee gepaard gaan – ‘tijdelijk’ worden bewaard. Anders gezegd: printers zijn net zo goed computersystemen vol data. En verdienen dus dezelfde aandacht. Dat laatste aspect wordt vaak over het hoofd gezien.

Dergelijke ‘digitale papiertijgers’ zijn bovendien bijzonder kwetsbaar voor een datalek. Stel, een leidinggevende print een verslag uit van een functioneringsgesprek. De printer staat echter een verdieping lager, en hij of zij moet nadat de printer zijn werk gedaan heeft dit document dus fysiek gaan ophalen. In de tussentijd ligt het echter open en bloot in de papiertray, waar iedereen deze gevoelige persoonsgegevens kan inzien. Welbeschouwd kun je dan spreken van een datalek, met alle strenge AVG-consequenties van dien. Om van een mogelijk bedorven werksfeer nog maar te zwijgen.

Gekoppeld met het internet

Het is niet het enige risico van afdrukapparaten. Steeds meer van dergelijke machines zijn gekoppeld met het internet. Daar staan ze niet zelden open en bloot voor iedereen met een bovenmatige interesse in het onderscheppen van gevoelige gegevens. Van afstand kunnen onbevoegden in zo’n geval toegang tot het buffergeheugen, en hebben inzage in alle afgedrukte of nog af te drukken documenten die daar al dan niet tijdelijk zijn opgeslagen. Er is zelfs een aparte zoekmachine die deze onbeveiligde, verbonden apparaten opspoort: Shodan. Makkelijker kun je het met een onbeveiligd afdrukapparaat een hacker dus niet maken.

Een ander risico ontstaat op het moment dat deze apparaten bij het grofvuil worden gezet. Eventueel nog aanwezige persoonsgegevens belanden dan vrijwel letterlijk ‘op straat’. Ook dan mag je rustig spreken van een datalek.

Papieren archief

Ook het papieren archief valt doorgaans niet binnen de scope van de compliance-werkzaamheden. Toch zijn ook de kasten en lades vol arbeidscontracten, opdrachtovereenkomsten en logs van werkzaamheden bronnen van persoonsgegevens. Deze gegevens vallen dus onder exact dezelfde regels als digitale data. Ook voor papieren archieven geldt dus: zorg voor een goede indexering en metadatering, zodat bij een mogelijk verzoek tot verwijdering de betrokken persoonsgegevens snel opgespoord en vernietigd kunnen worden. In tegenstelling tot een digitale dienst is een ‘handige zoekfunctie’ immers niet aanwezig en kan de speurtocht naar persoonsgegevens in een warrig archief vele uren of zelfs dagen in beslag nemen. Met alle kosten (en kantontevredenheid) van dien.

En ook hier geldt: weet wie toegang heeft tot welke ‘papieren’ persoonsgegevens, welke verwerkingen hierop plaatsvinden en met welk doeleinde dat gebeurt. Ook papier verdient een plaats in het verwerkingsregister. Denk ook aan de fysieke toegangsbeveiliging tot ruimtes waar de archief is gehuisvest. Het archief fysiek openstellen voor jan en alleman is uiteraard vragen om problemen.

Papierbakken

Een andere bron van datalekken zijn simpelweg papier- en prullenbakken. Vellen met persoonsgegevens worden niet zelden achteloos weggegooid. Een enkeltje shredder is voor afgedankte documenten vaak geen overbodige luxe.

Stripcut voldoet niet

De AVG stelt wel eisen aan die shredder. De veelgebruikte ‘stripcut’ papiervernietigers, die het papier in rechte stroken snijdt, voldoet niet aan de nieuwe richtlijnen. Deze stroken kunnen namelijk met enig geduld en inzicht weer aan elkaar geplakt worden. Het gebruik van een shredder met P3- of P4-beveiligingsniveau is daarom verplicht. Dit zijn zogeheten ‘crosscut’ shredders die papier in 200 of 400 snippers verdelen. Voor organisaties die met zeer gevoelige persoonsgegevens werken, raadt de AVG zelfs het gebruik van een P5-versnipperaar aan. Deze machines bewerken een A4’tje tot maar liefst 2000 stukjes. Daar kan zelfs de meest ijverige kwaadwillende geen chocola meer van maken.

Nog niet te laat

De nieuwe privacywetgeving is een feit. Maar het is nog niet te laat. Zorg dat ook je papieren datahuishouding op orde is en voorkom complianceproblemen, of erger.

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

YourSafetynet uitgebreid met nieuwe features

Onze R&D-afdeling heeft in de aanloop naar de AVG-deadline allesbehalve stilgezeten. We hebben onze softwareoplossing uitgebreid met een aantal nieuwe functies en documenten die het gebruiksgemak en functionaliteit verder vergroten. De belangrijkste updates en vernieuwingen op een rij.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.

Share This