Een aantal maanden geleden had ik deel genomen aan een zakelijke presentatie van de advocaten van Blue Legal over NIS2. Dit onderwerp is vooral voor bedrijven van belang en heeft te maken met de risico’s die netwerk- en informatiesystemen kunnen bedreigen. De NIS2 is een richtlijn vanuit de overheid en zal over een jaar actief worden en is een opvolging van de NIS richtlijn.
Wat zijn informatiesystemen:
Velen kennen het begrip informatiesysteem vermoedelijk niet. Het is een begrip uit het bedrijfsleven. Het betekent eigenlijk een verzamelwoord voor database, e-mailprogramma, Word, Excel. Zelfs een harde schijf is een informatiesysteem, immers bevat het informatie in de vorm van bestanden.
Hoe zit het met bewaren van e-mailberichten:
Uit de zaal wordt de vraag gesteld hoelang je eigenlijk e-mailberichten mag bewaren. Het gaat de vraagsteller dan vooral om e-mailberichten met persoonlijke gevoelige gegevens zoals sollicitaties, CV, kopie ID of paspoort.
Het antwoord van de advocaat is dat je dit zolang mag bewaren als nodig is. Een generiek antwoord concludeert de advocaat meteen.
Ze geeft een praktisch voorbeeld wat het duidelijker maakt. Stel iemand solliciteert bij het bedrijf maar komt toch niet bij het bedrijf werken. Je zou dan kunnen zeggen dat je zijn informatie niet meer nodig hebt en dus moet verwijderen. Immers, je hebt niets meer aan zijn kopie ID of CV.
Hiermee respecteer je de privacy van de sollicitant, voldoe je aan de AVG en voorkomt een datalek.
Eigenlijk bewaar je te veel e-mails:
De dag na de presentatie bekijk ik in mijn zakelijke mailbox de “Verwijderde” en “Verzonden” mappen. Die zitten vol met tienduizenden mails vanaf de dag dat ik bij heb bedrijf kwam. werken. Deze heb ik nooit verwijderd. Waarom? Ruimte is tegenwoordig onbeperkt en je weet maar nooit, misschien heb ik ze toch nog nodig. Maar als ik daar wat langer over na denk zoek ik alleen in mails van de afgelopen 2-3 jaar terug. Belangrijke mails, die ik wil bewaren, heb ik al in andere mappen gestructureerd ondergebracht.
Wanneer heb je e-mails goed verwijderd:
Verwijderen naar de “Prullenbak” van het e-mailprogramma is natuurlijk niet voldoende. De mail moet helemaal verwijderd worden uit het e-mailprogramma. Op die manier wordt deze ook uit de back-ups verwijderd.
Heb je de bijlagen van de e-mails nog ergens anders bewaard, zoals SharePoint of Onedrive? Dan zal je die daar voor de volledigheid ook moeten wissen.
Natuurlijk geldt het verwijderen in dit verhaal specifiek voor e-mails met persoonlijke gevoelige informatie die je niet meer nodig hebt. Die mail van jouw collega om te vragen of je naar de borrel komt mag je gerust bewaren.
Moet ik e-mails een voor een gaan bekijken en verwijderen:
Nee, dat zou ik niet doen. Ik zou bedrijfsbreed afspreken dat iedere medewerker eens per jaar alle mails verwijderd die 5 jaar of ouder zijn. Dan heb je meteen alles te pakken en kost het je ook maar weinig tijd. Het is natuurlijk niet de bedoeling dat je eerst een back-up maakt van de mails die je gaat verwijderen anders heeft het geen nut.
Hoe zit het dan met het datalek, privacy en AVG verhaal:
Stel dat jij, jouw collega of het hele bedrijf gehackt worden dan kunnen ze niets met data die er niet is. Vaak wordt een bedrijf gehackt om gevoelige data te stelen. Persoonlijke gegevens van medewerkers, sollicitanten en kopieën van identificatiedocumenten zijn dan zeer interessant.
Als zoiets gebeurt moet je dit ook melden bij de overheid. Maar door zoveel mogelijk data al te verwijderen maakt dat geen deel uit van het datalek. Dan hoef je ook nooit te verklaren waarom jij nog kopieën van identificatiepapieren hebt van personen die niet bij het bedrijf werken.
Natuurlijk moet je wel de wettelijke bewaarplicht vanuit de overheid in gedachte houden. Persoonlijke gegevens van medewerkers die het bedrijf verlaten hebben hoef je niet te wissen. Immers kan je deze gegevens ooit nog nodig hebben.
Conclusie:
Hoe je het ook bekijkt… het is zeker interessant om mails van jaren terug te verwijderen omdat je ze waarschijnlijk toch nooit meer nodig hebt. Hierdoor bespaar je ook opslagruimte waardoor je mogelijk de kosten hiervoor kan verlagen.
> Lees hoe je mailboxen makkelijk kan migreren