Wees voorzichtig bij het archiveren van e-mails: veel archiveringsservices voldoen niet aan de AVG

Wees voorzichtig bij het archiveren van e-mails: veel archiveringsservices voldoen niet aan de AVG

Al geruime tijd houdt overal één onderwerp directies en besturen bezig: gegevensbescherming en de algemene verordening gegevensbescherming, die in mei 2018 in werking is getreden. De Europese wet inzake gegevensbescherming heeft de goedkeuring en lof van velen gekregen, omdat het ervoor zorgt dat consumenten controle hebben over hun gegevens. Het onderwerp veroorzaakt echter nog steeds vaak verwarring en hoofdpijn. Bedrijven worden overbelast met niet-transparante regelgeving en een aanzienlijke hoeveelheid extra werk, om nog maar te zwijgen van de extra kosten:

Slechts een kwart van de ondervraagde Duitse bedrijven voldoet volledig aan de eisen van de EU-verordening algemene gegevensbescherming. Deze bevindingen waren het resultaat van een Bitkom-studie die werd uitgevoerd in september 2019, waarbij 500 bedrijven werd gevraagd naar hun voortgang met betrekking tot de implementatie van de AVG.

De gevreesde golf van waarschuwingen en schijnbrieven kwam niet uit, echter voorlopig. In plaats daarvan werden kleinere boetes opgelegd. Tot november 2019, toen alles veranderde. De woningbouwvereniging Deutsche Wohnen kreeg een boete opgelegd voor inbreuk op de gegevensbescherming voor het hoogste bedrag ooit in Duitsland: 14,5 miljoen euro. De reden voor dit enorme bedrag was dat het archiveringssysteem dat in het hele bedrijf werd gebruikt geen mogelijkheid bood voor het verwijderen van gegevens die het bedrijf niet langer nodig had.

Het is precies dit onderwerp waaraan we ons hieronder hebben gewijd en laten zien welke functies een e-mailarchief moet hebben, zodat het audit-bestendig is EN voldoet aan de gegevensbescherming.

E-mails archiveren – maar correct!

In de dagelijkse praktijk wordt e-mail al lang beschouwd als een standaard communicatiemiddel. Facturen voor gekochte producten en diensten worden naar klanten gestuurd, aanbiedingen en vragen worden naar leveranciers gestuurd en nog veel meer. In de loop van deze ontwikkelingen is het niet verwonderlijk dat de wettelijke en regelgevende kaders voor de afhandeling van zakelijke e-mails is uitgebreid. In Duitsland komt de wettelijke grondslag voor het archiveren van e-mails dus voort uit de verordeningen voor het juiste beheer en de opslag van boeken, documenten en documenten in elektronische vorm en voor gegevenstoegang, kortweg GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Vorm sowie zum Datenzugriff).

De archiveringsplicht geldt dus voor alle handelaren, bedrijven en rechtspersonen. De archiveringsduur is afhankelijk van het type correspondentie. Hoewel voor conventionele handels- en zakenbrieven een archiveringsperiode van zes jaar is vastgesteld, geldt voor boekhouddocumenten, facturen, balansen en jaarrekeningen een bewaartermijn van maximaal tien jaar.

Volgens de GoBD moeten archiveringssystemen die door bedrijven worden gebruikt aan de volgende basiscriteria voldoen om auditbestendige e-mailarchivering te garanderen:

  • E-mails moeten ongewijzigd worden gearchiveerd
  • Onderweg naar of in het archief mag geen e-mail verloren gaan
  • E-mails moeten opvraagbaar zijn en op korte termijn
  • E-mails mogen niet verwijderd worden tijdens de beoogde levensduur
  • E-mails moeten exact kunnen worden weergegeven en afgedrukt zoals ze zijn ingevoerd
  • Documentatie van wijzigingen in de organisatie en structuur van het archief moet het mogelijk maken de oorspronkelijke staat te herstellen
  • Migratie naar nieuwe platforms moet mogelijk zijn zonder verlies van informatie

Bovendien moeten gebruikers van het archief gedurende de levensduur van het archief voldoen aan de wettelijke en operationele voorschriften inzake gegevensbeveiliging en gegevensbescherming.

Audit bestendig betekent niet noodzakelijkerwijs dat het AVG-conform is

Inmiddels stelt een oplettende lezer waarschijnlijk de volgende vraag: hoe kan een archiveringssysteem worden gewaarschuwd of geïnformeerd wanneer niet wordt voldaan aan de verwijderingsverplichtingen als e-mails volledig en op een auditbestendige manier moeten worden gearchiveerd? Terechte vraag. Hier is het antwoord:

De Algemene Verordening Gegevensbescherming voorziet in de verplichting om alle persoonsgegevens die niet langer worden gebruikt te verwijderen. Dit omvat ook alle e-mailcommunicatie. Volgens de GDPR is de opslag en verwerking van dergelijke gegevens daarom altijd voor een specifiek doel. Het doel kan bijvoorbeeld betrekking hebben op het leveren van een specifieke dienst die zonder de verwerking van klantgegevens niet mogelijk zou zijn. Als dit doel na enige tijd niet meer bestaat, moeten deze gegevens worden verwijderd.

U

Een voorbeeld van de afdeling Human Resources:

Monica M. solliciteert naar een baan als bediende bij een middelgroot bedrijf in de toeristische sector. De sollicitatie bevat doorgaans relevante persoonlijke gegevens, zoals adres, geboortedatum en nog veel meer. De documenten worden gecontroleerd door de afdeling Human Resources en de desbetreffende gespecialiseerde afdeling.

Als Monica M. indruk op ze maakt, wordt ze uitgenodigd voor een interview en kan ze de functie idealiter vervullen. Om als werknemer van het bedrijf te kunnen optreden en hiervoor betaald te worden, moet het bedrijf de gegevens van Monica opslaan en verwerken. Als Monica tijdens het interview echter geen indruk maakt op het bedrijf, is de basis voor gegevensopslag niet langer van toepassing. Het bedrijf moet de gegevens daarom uiterlijk zes maanden na afwijzing van Monica’s aanvraag volledig vernietigen. En wat hier wordt bedoeld is “verwijderen”. Dit omvat alle documenten die op papier en digitaal beschikbaar zijn, zoals sollicitatiebrieven, curriculum vitae, kopieën van certificaten, aantekeningen van het interview, testpapieren en alle gerelateerde e-mails die zijn ontvangen.

Naast de hier zojuist beschreven situatie zijn er nog twee andere gevallen waarin archivering is beperkt of helemaal niet is toegestaan. Het eerste geval betreft e-mailcommunicatie tussen werknemers en de ondernemingsraad of bedrijfsarts. De tweede betreft persoonlijke e-mails, als werknemers deze mogen verzenden en ontvangen wat over het algemeen zo is.

Het audit bestendige en AVG-conforme archiveringssysteem

Zoals al beschreven is de opslag van persoonsgegevens gekoppeld aan een specifiek doel. En zoals we hebben gezien, kan dit doel ook veranderen. Een wettelijk opgelegde verplichting om gegevens te bewaren kan daarom ook worden beschouwd als een doel voor de opslag van persoonsgegevens.

Om te kunnen voldoen aan zowel de bewaar- als verwijderingsverplichtingen, moet een onderneming drie belangrijke aspecten in gedachten houden bij het archiveren van e-mails. Allereerst moet het mogelijk zijn om persoonlijke informatie te herkennen en te markeren, zoals de privé-e-mailcommunicatie van werknemers. Ten tweede moeten gegevens worden geclassificeerd om de vraag te beantwoorden waar deze gegevens betrekking op hebben. Last but not least moeten bewaartermijnen worden gedefinieerd.

Het is daarom bijzonder belangrijk om bij het kiezen van een zakelijk archiveringssysteem op zowel onveranderlijkheid als conformiteit van gegevensbescherming te letten – omdat niet elk archiveringssysteem gegevens kan verwijderen en, zoals we hebben gezien, kan dit duur worden!

Archivering van Hornetsecurity

Een archiveringssysteem dat aan alle eisen voldoet en ook lage administratie- en onderhoudskosten heeft, is Hornetsecurity Archiving. Alle inkomende en uitgaande e-mails worden volledig, automatisch en veilig in de cloud gearchiveerd. Dit zorgt voor de vereiste onveranderlijkheid en volledigheid van de e-mails zonder enige inspanning van uw kant.

Verdere kenmerken van het archief zijn onder meer het markeren van privé-e-mails en het volledig uitsluiten van bepaalde gebruikers van archivering, zoals leden van de ondernemingsraad. Op deze manier kunnen persoonlijke gegevens worden beschermd in overeenstemming met de AVG. De archiveringsperiode voor e-mails kan vooraf worden geconfigureerd, tussen de zes maanden en 10 jaar. Met de bestaande full-text zoekfunctie kunnen specifieke e-mails snel worden gevonden. Ten slotte heeft de archivering van Hornetsecurity ook een veilige import- en exportfunctie met een gestandaardiseerd formaat..