Slordig informatiebeleid is troef in de Cloud en op social media
2 maart 2015 -
Het zakelijk gebruik van samenwerkingsplatforms in de Cloud en het gebruik van digitale communicatiekanalen met chats, tweets en sms-jes, groeit uiterst snel. Iron Mountain waarschuwt voor de juridische consequenties en informatierisico´s en geeft tips.
E-mail, klantbeheergegevens en webcontent worden inmiddels serieus genomen. Maar het ontbreekt aan echt integraal informatieveiligheidsbeleid dat ook de Cloud en sociale media omvat. Uit onderzoek van AIIM en Iron Mountain blijkt dat één op de drie organisaties geen verantwoordelijke heeft voor het begeleiden en monitoren van:
- gedeelde cloud-informatie (33 procent)
- inhoud van chat-boodschappen (39 procent)
- mobiele WhatsApp en sms-communicatie (32 procent)
- communicatie via sociale media, zoals LinkedIn, Twitter en Facebook (28 procent)Met grote risico´s als juridische consequenties, datadiefstal, datalekken en reputatieschade tot gevolg.
Informatiestromen reguleren
Uit het onderzoek blijkt dat bijna één op de tien organisaties er zelfs nog niet in slaagt om breed ingeburgerde informatiesoorten en -stromen, zoals e-mail, klantgegevens en openbare websitecontent goed te reguleren.
Officiële communicatie
Nieuwe media zoals LinkedIn, Twitter en Facebook, worden inmiddels tot officiële communicatie gerekend. En informatie op hosting-locaties, of ´in de cloud´, vallen gewoon onder de zorgplicht van de eigenaar. Dat betekent dat al deze informatie net zoals communicatie op papier, via e-mail of in de gegevensbestanden moet worden beschermd, en onder de juridische verantwoordelijkheid valt. Aan een tweet kunnen rechten worden ontleend. En op WhatsApp-jes zit een bewaartermijn. Een klantdocument in DropBox, valt onder de bescherming van persoonsgegevens.
Veel en veelsoortig
De verspreiding van grote hoeveelheden veelsoortige informatie gebeurt vooral via nieuwe media, blijkt uit het onderzoek. Vorig jaar werden er per medewerker gemiddeld 121 e-mails per dag verstuurd en ontvangen. Daarnaast worden er door Europese bedrijven gemiddeld zo´n 37 verschillende document-verspreidingsdiensten en 125 samenwerkingsplatforms gebruikt. Zo gebruiken wereldwijd 25 miljoen maandelijkse gebruikers het Nederlandse WeTransfer. En gebruiken vier miljoen bedrijven Dropbox om informatie met anderen te delen.
Integraal beleid
Iron Mountain hamert op uitbreiding van het integrale informatieveiligheidsbeleid.
"Het integrale informatieveiligheidsbeleid moet net zo strikt worden toegepast op gegevens die via de nieuwste digitale kanalen worden verspreid, als op informatie die wordt verspreid via de gevestigde digitale en traditionele communicatiekanalen," zegt Sue Trombley, Managing Director in Professional Services van Iron Mountain. "Voor bedrijven is het de uitdaging te bepalen welke van de vele en veelsoortige berichten of bestanden belangrijke informatie bevatten en welke bewaartermijnen hierop van toepassing zijn. Let wel: geen actie ondernemen is geen optie. De wetten en regels zijn van toepassing. Daarnaast lopen organisaties grote reputatierisico´s en staat waardevolle informatie bloot aan het risico op verlies en diefstal."
Zevenpunts controlelijst
Iron Mountain en AIIM bevelen in hun rapport een zevenpunts controlelijst aan om te zorgen voor een gedegen integraal informatieveiligheidsbeleid en om risico´s op datadiefstal, dataverlies en reputatieschade te voorkomen.
Wijs informatieverantwoordelijken aan voor records- en informatiemanagement, zoals de ICT-, de juridische, de marketing- of de afdeling personeelszaken
Categoriseer en prioriteer de informatie en richt het beleid op informatie met hoge prioriteit, gevoeligheden en vertrouwelijkheden
Zorg voor monitorings-, bewaartermijnen- en verwijderingsbeleid – en voer dat nauwgezet
Automatiseer het bewaar- en verwijderingsbeleid
Implementeer een ECM / ERM-systeem (Enterprise Content Management / Enterprise Records Management) dat een einde maakt aan het informeel online delen van documenten
Formuleer helder beleid en communiceer dit duidelijk en herhaaldelijk naar medewerkers
Overweeg de zorg uit handen te geven en databeheer en -opslag uit te besteden