Medewerkers zijn zich vaak onvoldoende bewust van de risico's en juridische consequenties van het delen van bedrijfsinformatie via sociale media en cloud-toepassingen. Het ontbreekt bovendien aan beleid op het gebied van informatieveiligheid dat is toegespitst op cloud-oplossingen en sociale media. Dat stelt informatiebeheerder Iron Mountain.
‘E-mail, het beheer van klantgegevens en webcontent worden inmiddels serieus genomen. Maar het ontbreekt aan integraal informatieveiligheidsbeleid dat ook de cloud en sociale media omvat’, stelt de dienstverlener na onderzoek.
Uit onderzoek van AIIM en Iron Mountain blijkt dat één op de drie organisaties geen verantwoordelijke heeft voor het begeleiden en monitoren van: informatie die via cloudtoepssingen wordt gedeeld (33 procent), de inhoud van chat-boodschappen (39 procent), communicatie via Whatsapp of sms (32 procent) en de uitwisseling van informatie via sociale media, zoals LinkedIn, Twitter en Facebook (28 procent). ‘Bijvoorbeeld chats en tweets zijn ook officiële bedrijfsuitingen. Dat heeft juridische consequenties’, benadrukt het bedrijf.
Zorgplicht van de eigenaar
Uit het onderzoek blijkt dat bijna één op de tien organisaties er nog niet in slaagt om breed ingeburgerde informatiesoorten en -stromen, zoals e-mail, klantgegevens en openbare websitecontent goed te reguleren. ‘Nieuwe media zoals LinkedIn, Twitter en Facebook, worden inmiddels tot officiële communicatie gerekend. En informatie op hosting-locaties, of ´in de cloud´, vallen gewoon onder de zorgplicht van de eigenaar. Dat betekent dat al deze informatie net zoals communicatie op papier, via e-mail of in de gegevensbestanden moet worden beschermd, en onder de juridische verantwoordelijkheid valt. Aan een tweet kunnen rechten worden ontleend. En op Whatsapp-jes zit een bewaartermijn. Een klantdocument in Dropbox, valt onder de bescherming van persoonsgegevens’, somt het bedrijf op,
Volgens de informatiebeheerdienstverlener ontving en verstuurde een gemiddelde medewerker 121 e-mails per dag. ‘Daarnaast worden er door Europese bedrijven gemiddeld zo´n 37 verschillende document-verspreidingsdiensten en 125 samenwerkingsplatforms gebruikt. Zo gebruiken wereldwijd 25 miljoen maandelijkse gebruikers het Nederlandse Wetransfer. En gebruiken vier miljoen bedrijven Dropbox om informatie met anderen te delen’, aldus Iron Mountain.
De dienstverlener voor informatiebeheer hamert op uitbreiding van het integrale informatieveiligheidsbeleid. ‘Dat moet net zo strikt worden toegepast op gegevens die via de nieuwste digitale kanalen worden verspreid, als op informatie die wordt verspreid via de gevestigde digitale en traditionele communicatiekanalen’, stelt het bedrijf in een toelichting op het onderzoek.
‘Voor bedrijven is het de uitdaging te bepalen welke van de vele en veelsoortige berichten of bestanden belangrijke informatie bevatten en welke bewaartermijnen hierop van toepassing zijn. Let wel: geen actie ondernemen is geen optie. De wetten en regels zijn van toepassing. Daarnaast lopen organisaties grote reputatierisico´s en staat waardevolle informatie bloot aan het risico van verlies en diefstal.’
De dienstverlener en AIIM delen een controlelijst voor informatiebeheer bij cloud- en sociale media-toepasingen in de zakelijke omgeving. Die lijst bestaat uit zeven punten voor het opzetten van een gedegen integraal informatieveiligheidsbeleid dat risico´s op datadiefstal, dataverlies en reputatieschade moet voorkomen.
Zeven tips
– Wijs informatieverantwoordelijken aan voor records- en informatiemanagement, zoals de ict-, de juridische, de marketing- of de afdeling personeelszaken.
– Categoriseer en prioriteer de informatie en richt het beleid op informatie met hoge prioriteit, gevoeligheden en vertrouwelijkheden.
– Zorg voor monitorings-, bewaartermijnen- en verwijderingsbeleid – en voer dat nauwgezet uit.
– Automatiseer het bewaar- en verwijderingsbeleid.
– Implementeer een ECM / ERM-systeem (Enterprise Content Management/Enterprise Records Management) dat een einde maakt aan het informeel online delen van documenten.
– Formuleer helder beleid en communiceer dit duidelijk en herhaaldelijk naar medewerkers.
– Overweeg de zorg uit handen te geven en databeheer en -opslag uit te besteden