Privacywet AVG: Veiligheidsrisico’s papieren data vaak onderschat

En hoewel bij de invoering de nadruk ligt op de omgang met en het beveiligen van digitale informatie, geldt de AVG net zo goed voor geprinte data en papieren documenten. Veel bedrijven realiseren zich echter vaak nog onvoldoende dat ook met papieren data het risico op een zogenaamd ‘datalek’ zeer reëel is en gevoelige informatie in handen van onbevoegden terecht kan komen. Zo bleek uit onderzoek in Groot-Brittannië dat maar liefst 40 procent van de veiligheidsissues in 2016 zich voordeed met geprinte data. En met de invoering van de AVG kan een dergelijke situatie een boete opleveren die kan oplopen tot maar liefst 20 miljoen euro of 4 procent van de jaaromzet.

Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) worden globale richtlijnen gegeven hoe persoonlijke informatie van particulieren moeten worden verkregen, opgeslagen, gebruikt en verwerkt. ‘Persoonlijke informatie’ moet daarbij overigens heel breed moet worden geïnterpreteerd, van adresgegevens en geboortedatum tot informatie over iemands favoriete kleur of burgerservicenummer. Nog vaak blijkt dat men onvoldoende bewust is van de fraude die mogelijk is met persoonlijke informatie. Immers, met slechts enkele gegevens is het al mogelijk om onder een valse naam e-mails te versturen, online bestellingen te plaatsen of zelfs een lening af te sluiten.

Veiligheidsbeleid papieren data
Hoewel de AVG van toepassing is op alle persoonlijke informatie, worden in de praktijk vooral procedures doorgevoerd die betrekking hebben op digitale data. Jaap van Selm, Vice President ACCO Brands, pleit er daarom voor dat bedrijven een veiligheidsbeleid voor hun papieren data opstellen. Van Selm: “Een papierloos bedrijfsproces blijkt in de praktijk veelal niet haalbaar. Veel belangrijke correspondentie gaat nog via de post en het gebeurt regelmatig dat digitale data worden uitgeprint. Ook beschikken nog veel bedrijven over oude papieren archieven met gegevens die bewaard moeten blijven. Om de AVG correct na te kunnen leven, moeten daarom heldere procedures worden opgesteld hoe dergelijke papieren data niet alleen moeten worden beheerd, maar ook zouden moeten worden vernietigd.”

Veiligheidsniveaus papiervernietiging
Met de huidige technologie is het steeds beter mogelijk om papiersnippers te herleiden naar het originele document. Van Selm adviseert daarom dat het vernietigen van potentieel gevoelige, geprinte data moet worden beschouwd als een integraal onderdeel van het bedrijfsproces. Daarbij moet de methode van vernietiging afhankelijk zijn van de gevoeligheid van de data. Zo zou, bij het vernietigen van bijvoorbeeld medische dossiers, een hoger veiligheidsniveau moeten worden gehanteerd, en dus een meer geavanceerde vernietigingsmethode, dan bij het vernietigen van een adresbestand van de lokale voetbalclub.