Właściwe niszczenie dokumentów

art_4

Niszczenie dokumentów w wielu organizacjach wydaje się być stałym elementem codziennej pracy. Niszczarki do dokumentów lub pojemniki do utylizacji dokumentacji poufnej można znaleźć w niemal każdym podmiocie. Jednak nie każda osoba wie, które dokumenty należy przeznaczyć do zniszczenia, a które można swobodnie wyrzucić do zwykłego śmietnika. Częstą praktyką jest wyrzucanie dokumentów do zwykłych śmietników, gdyż weryfikacja ich zawartości zajmuje zbyt dużo czasu, podobnie jak ich niszczenie w niszczarce. Pojemniki niszczarek się szybko przepełniają i trzeba je opróżniać, co znów zajmuje czas.

Równie częstym problemem jest jakoś sprzętu służącego do niszczenia dokumentów. Najtańsze niszczarki dostępne na rynku najczęściej nie spełniają żadnych norm bezpieczeństwa. Co oznacza, że ich wykorzystanie również nie zapewnia całkowitego usunięcia danych stanowiących niekiedy tajemnicę przedsiębiorstwa lub inną tajemnicę prawnie chronioną na podstawie umów (klauzul NDA – Non Disclousure Agreement) lub powszechnie obowiązujących przepisów prawa. W praktyce pracownicy nawet korzystając ze sprzętu dostarczonego przez pracodawcę nie zapewniają trwałego usunięcia danych.

W większości prowadzonych działalności, pomimo coraz szerszej digitalizacji procesów przetwarzania danych, wciąż wersja papierowa dokumentów jest stosowana na ogromną skalę. Przykładowo dokumenty stanowiące dowód dostawy i odbioru towaru, czyli tzw. WZ-tki, wciąż są poza jakimkolwiek systemem ochrony informacji. Podobnie sytuacja wygląda z drukowaniem wiadomości pocztowych stanowiących potwierdzenie dokonanego zamówienia lub z fakturami, które wciąż stanowią przedmiot szerokiego obrotu wersji papierowych. Znaczna część organizacji skutecznie zabezpiecza wskazane informacje, o ile są one przetwarzane w systemie informatycznym. Problem pojawia się w momencie, gdy dochodzi do wydrukowania takiego dokumentu i nagle okazuje się, że cała kontrola dostępu do informacji znika. Niestety największym problemem przy zapewnianiu bezpieczeństwa danych w wersji papierowej jest niski poziom świadomości osób, które je przetwarzają. Zgodnie z wynikami badania firmy Fellowes przeprowadzonego pod patronatem GIODO:

Respondenci deklarują dbałość o zabezpieczenie starej, zbędnej dokumentacji zawierającej istotne dane osobowe. Aż 38% z nich oświadczyło, że do jej niszczenia używa niszczarki. Ponad połowa badanych (53%) drze i wyrzuca taką dokumentację do śmietnika, niszczy ją więc pozornie – z jedynie przedartych dokumentów łatwo odzyskać wszystkie informacje. 9% badanych w całości wyrzuca ją do kosza.*

Z jednej strony problemem jest brak procedur nakazujących bezpiecznie usuwanie dokumentów zawierających informacje poufne, a z drugiej nawet jeżeli procedury zostały przygotowane to nie zostały wdrożone. Przykładowo organizacja zatwierdza procedurę, która nakazuje pracownikowi niszczyć odpowiednie dokumenty jedynie za pośrednictwem niszczarki, a nie zapewnia pracownikowi dostępu do niszczarki. Innym przykładem może być procedura, która przewiduje wyrzucanie dokumentów do dedykowanych pojemników, a okazuje się, że pojemniki nie są zabezpieczone przed dostępem osób z zewnątrz.

Najbardziej problematyczna jednak okazuje się klasyfikacja dokumentów na te, które bezwzględnie podlegają usunięciu w niszczarce oraz te, które mogą być wyrzucane do zwykłych śmietników. Najczęściej oceny musi dokonać sam pracownik. Jest to problematyczne, gdyż z jego punktu widzenia dokument może nie stanowić ryzyka – informacje w nim zawarte nic nie znaczą, jednak nie widzi on szerszego kontekstu ich wykorzystania i dlatego wyrzuca je do zwykłego kosza na śmieci.

Niestety nie da się określić, jak powinna wyglądać procedura niszczenia dokumentów w każdej firmie, ponieważ każda organizacja jest nieco inna i procedura działająca w jednym podmiocie może nie działać w drugim. Jednak można wskazać kilka podstawowych zasad, których przestrzeganie przez pracowników pozwoli na uniknięcie negatywnych skutków wycieku danych.

Po pierwsze sprzęt do niszczenia dokumentów musi zapewniać ich trwałe zniszczenie bez możliwości odtworzenia danych. Warto oprzeć się na normach w zakresie usuwania danych. Zgodnie z wymaganiami normy DIN 66399 wszelkie informacje poufne oraz dane osobowe powinny być niszczone przez urządzenia spełniające wymagania na poziomie P-3, co oznacza, że fragmenty pozostałe po zniszczeniu nie mogą być większe niż 320 mm2. Opcjonalnie korzystając z usług firmy zewnętrznej należy zapewnić odpowiednio zabezpieczone pojemniki do utylizacji dokumentacji poufnej, a sam proces utylizacji powinien zagwarantować brak możliwości odtworzenia danych. Po drugie ilość i lokalizacja urządzeń do niszczenia powinny być optymalne. Nie oznacza to, że na każde urządzenie drukujące musi przypadać jedna niszczarka, ale co najmniej jedna niszczarka na piętro tak by pracownicy nie musieli nosić dokumentów do zniszczenia pomiędzy piętrami. Po trzecie jasno określona klasyfikacja dokumentów, tak by pracownicy nie mieli wątpliwości, że np. faktury usuwa się w niszczarce, a koperty okienkowe mogą być wyrzucone do zwykłego śmietnika. Po czwarte regularne szkolenia lub inna forma instruktarzu dla pracowników przypominająca o konieczności niszczenia odpowiednich kategorii dokumentów w odpowiedni sposób, gdyż jak pokazuje praktyka wraz z upływem czasu pracownicy przestają przestrzegać niewygodnych dla nich procedur.

Podsumowując, by uniknąć negatywnych konsekwencji wycieku danych w wersji papierowej, powinniśmy pamiętać, aby faktycznie wdrożyć w organizacji procedury postępowania z dokumentami w wersji papierowej. Dodatkowo pod żadnym pozorem nie możemy lekceważyć jakości sprzętu, z którego korzystamy oraz weryfikować podwykonawców, których zadaniem jest bezpieczna utylizacja dokumentacji w wersji papierowej.


*http://www.giodo.gov.pl/plik/id_p/6594/j/pl/ (dostęp: 7 maja 2017r.)

Powiązane case study:

Niszczenie dokumentów – case study