"Volgens mij moet er een fundamentele wijziging komen in de manier waarop elk document wordt aangemaakt en beheerd", vertelt Bill Anderson van het cyberbeveiligingsbedrijf OptioLabs in een verslag van cnet.com over de Panama Papers.
De Panama Papers is het meest recente voorbeeld van een gigantische gegevensinbreuk waarbij miljoenen vertrouwelijke documenten van een Panamees advocatenkantoor werden gelekt en offshore bankrekeningen (en mogelijke belastingparadijzen) van rijke klanten openbaar werden gemaakt.
Eén van de vele aspecten van informatiebeveiliging is een doordacht documentbeleid. Iedereen in een onderneming moet weten welke vertrouwelijke documenten moeten worden bewaard en welke voorgoed moeten worden vernietigd, vooral wanneer het tijd is om aan de belastingaangifte te beginnen en informatiedieven een versnelling hoger schakelen.
De Amerikaanse fiscus (IRS) meldde een stijging van 400% in de eerste vier maanden van 2016 wat betreft het aantal scams om persoonlijke gegevens te stelen. Criminelen maken valse belastingaangiftes en versturen valse e-mails waarbij ze zich voordoen als een hooggeplaatste collega die belastinggegevens nodig heeft.
Hieronder vindt u enkele beleidsrichtlijnen wat betreft het bewaren van documenten om u te helpen bij uw informatiebeveiliging.
- Informatieaudits: identificeer aan de hand van audits welke documenten het bedrijf produceert en leg een inventaris aan die ook up-to-date wordt gehouden.
- Hoe lang moet ik belastingdocumenten bewaren? Twee factoren spelen een rol in de beslissing om documenten te bewaren: hoe lang zijn ze nuttig voor het bedrijf en hoe lang moeten ze worden bewaard volgens de overheid of de voorschriften in uw sector. Zo moeten in de VS de loonaangiftes vier jaar worden bijgehouden. Elk bedrijf moet nagaan welke wetten van toepassing zijn.
- Te lang of te kort – in beide gevallen een boete: hoewel het wettelijk verplicht is om bepaalde documenten bij te houden, loopt u ook het risico op vervolging en boetes wanneer u bepaalde informatie te lang bijhoudt. Net als de meeste andere privacywetten, bepaalt de wet op de gegevensbescherming dat documenten op een beveiligde manier moeten worden vernietigd wanneer de officiële bewaarperiode is verstreken.
- E-mails: onder documenten verstaan we zowel papieren als digitale documenten en correspondentie zoals e-mails. Volgens wired.com bevatten de gelekte documenten in de Panama Papers meer dan 4,8 miljoen e-mails (evenals 3 miljoen gegevensbestanden en 2,1 miljoen pdf's). Als een e-mail niet wordt verstuurd of ontvangen in het kader van een belangrijke bedrijfs- of juridische activiteit en niet onderworpen is aan specifieke regelgeving, verwijder het bericht dan binnen de vastgelegde tijd.
- Moeiteloos terugvinden: indexeer alle documenten zodat u ze snel terug kunt vinden. Bewaar ze op een beveiligde, afgesloten locatie en/of beveilig bestanden met een wachtwoord. Beperk de toegang tot werknemers die de informatie ook echt nodig hebben om hun werk te doen. Het opslaan van onnodige informatie verhoogt niet alleen het risico op een beveiligingsinbreuk, het neemt ook plaats in en kost geld.
- Veilig verwijderen: de enige aanvaardbare manier om papieren of digitale documenten weg te gooien wanneer ze niet langer nodig zijn, is door ze onherstelbaar te vernietigen. Versnipperen is een wettelijke vereiste voor heel veel documenten en door te outsourcen kunt u heel wat risico's wegnemen. Werk samen met een erkend vernietigingsbedrijf met een beveiligde bewakingsketen voor informatievernietiging. Een vernietigingscertificaat geldt als bewijs van naleving en moet worden uitgevaardigd na elk versnipperproces.