Vier op de tien MKB-ers hamsteren gegevens

- PwC en Iron Mountain voorzien grote privacy-problemen -

Rotterdam, 23 juni 2016 – Ook voor MKB-bedrijven is de race tegen de klok begonnen om tijdig te voldoen aan Europa´s nieuwe General Data Protection Regulation (EU GDPR). Pas nu dringen de problemen werkelijk door, blijkt uit recent onderzoek van informatiemanager Iron Mountain door de consultants van PwCi. Schijfruimte is goedkoop en papier is geduldig: liefst 41% denkt op veilig te spelen door alles te bewaren. Maar hamsteren van gegevens is geen volwassen bewaarbeleid. Data-hamsteren is juist de oorzaak van schending van de privacy-regels.

Iron Mountain heeft, geheel vrijblijvend, een gids met praktische richtlijnen voor en advies over de omgang met de EU GDPR opgesteld (Engelstalig, de Nederlandse versie is in productie.)

Schending van de nieuwe EU GDPR-regelgeving is zonder overdrijving een levensbedreigende kwestie: de boetes belopen vier procent van de wereldwijde omzet, of tot 20 miljoen euro, waarbij de hoogste van de twee toepasselijk is.

De gegevens-hamsterende MKB-ers in het onderzoek geven als doel aan, om:

  • waarde uit die gegevens te willen putten (89%);
  • een vangnet te willen hebben in het woekerende woud aan regels en wetten (87%); en om
  • te kunnen voldoen aan justitiële verzoeken om inzage in elektronische gegevens (e discovery, 42%).

Vier op de tien MKB-ers hamsteren gegevens | Iron Mountain

Data-hamsterend MKB niet klaar voor de EU General Data Protection Regulation

Ruim één op de tien (11%) onderzochte bedrijven laat daarbij de wettelijke bewaartermijnen volledig links liggen. Dat maakt het praktisch onmogelijk de privacygevoelige informatie te vinden die niet eeuwig bewaard mág worden, terwijl het risico op zware sancties toch al groot genoeg is. Zo bepaalt artikel 23 van de EU GDPR dat alle soorten informatie moeten worden ingeboekt op hun moment van aanmaak, van WhatsApp-jes tot e mails, en van offertes tot officieuze contracten.

Individuele willekeur

Zonder beleid, processen en richtlijnen laten bedrijven beslissingen over de bewaring van gegevens, in feite over aan hun individuele medewerkers, en daarmee stellen zij zich bloot aan toenemende risico´s. Wereldwijd onderzoekii van de vereniging voor informatieprofessionals AIIM, laat zien dat meer dan de helft van de onderzochte bedrijven (55%) zijn medewerkers hun e-mails naar eigen goeddunken laat bewaren of verwijderen. Dat maakt het onmogelijk te bewijzen dat gevoelige informatie volgens de regels is verwijderd.

PHI: Persoonlijk Herleidbare Informatie

”Dat het MKB aan het gegevens-hamsteren is geslagen, verbaast me niks”, zegt Jeroen Strik, directeur van Iron Mountain in België en Nederland. ”De markt is uiterst concurrerend. Ondertussen kampen deze bedrijven met zijn verschillende regels, toepasselijk op verschillende soorten informatie in de verschillende landen. Dat maakt de reflex begrijpelijk. Maar juist als het gaat om PHI, de Persoonlijk Herleidbare Informatie, dan bevinden ze zich nu in een onhoudbare en onverantwoorde situatie en lopen ze grote risico´s. Informatie van afgewezen sollicitanten, mag je bijvoorbeeld maar kort bewaren. Maar het is ook riskant om informatie te snel te verwijderen. Dat geldt bijvoorbeeld voor e mailcorrespondentie, medische dossiers, en veiligheidsrapporten die kunnen worden opgevraagd in juridische procedures.”

”Vanaf 2018 moeten bedrijven aantonen dat ze hun informatie van een einddatum van bewaring voorzien. Dat maakt het noodzakelijk te weten wat je waar aan informatie hebt en hoe lang je gerechtigd bent een en ander te bewaren. Iron Mountain is groot geworden in het archiveren van papieren dossiers en daarbij is dat standaardroutine voor klanten. Dergelijke discipline is nu weer actueel geworden en passen we ook toe op digitale dossiers. We adviseren MKB-ers om extern advies in te winnen. Dat voorkomt risico´s en zorgt dat gegevens de waarde opleveren die zij zoeken.”

Extern advies

Iron Mountain en PcW ontdekteniii dat bedrijven ouder dan tien jaar de grootste gegevens-hamsteraars zijn (57%), terwijl jonge bedrijven de geadviseerde deskundigheid wel inhuren: ruim een derde (35%) wint juridisch advies in en handelt daarnaar, en een kleine derde (29%) laat de materie van de bewaartermijnen over aan een derde partij. Praktische richtlijnen voor en advies over de omgang met de EU GDPR biedt (De Nederlandse versie is in productie.)

Over Iron Mountain

Iron Mountain Incorporated (NYSE: IRM) is wereldwijd toonaangevend in opslag- en informatie-beheerdiensten. Iron Mountain geniet het vertrouwen van 220.000 klanten die het bedient vanuit een vastgoednetwerk van bijna 7,5 miljoen vierkante meter in meer dan 1.350 vestigingen in 45 landen, ´om veilig te bewaren wat er werkelijk toe doet´. Iron Mountain´s dienstenportfolio omvat bijvoorbeeld het beheer van (medische) dossiers, gegevens en documenten; datacenter-services; transport en opslag van kunst; en beveiligde vernietiging. Iron Mountain zorgt daarbij voor lagere bewaarkosten, het voldoen aan wet- en regelgeving, en gegevensherstel na rampen, en maakt dat bedrijven hun informatie beter benutten. Sinds 1951 zijn er bij Iron Mountain miljarden informatiedragers in bescherming gegeven, waaronder essentiële bedrijfsdocumenten, in papieren en elektronische vorm, en medische gegevens, maar ook culturele en kunsthistorische voorwerpen. Meer informatie biedt IronMountain.nl.

Meer informatie

Iron Mountain Benelux
Jennifer Amsterdam
(0653) 81 25 64

PublieksWerk
Piet van Reeuwijk
(020) 486 21 39

iPwC en Iron Mountain, Beyond Good Intentions, http://www.ironmountain.co.uk/Knowledge-Center/Reference-Library/View-by-Document-Type/White-Papers-Briefs/1/2014-PwC-Reports.aspx
iiAIIM Industry Watch 2013, Information Governance – records, risks and retention in the litigation age
iii PwC en Iron Mountain, Beyond Awareness: the Growing Urgency for Data Management in the European Mid-market, http://ironmountain.co.uk/Risk-Management/