Een veilige printer heb je zelf in de hand
Een veilige printer heb je zelf in de hand
‘Is mijn printer veilig? Verwerken wij persoonsgegevens op de printer? Kan de leverancier van mijn printer bij onze persoonsgegevens?’ In mijn contact met klanten blijkt dat de nieuwe privacywet AVG nog steeds vragen oproept. De AVG is hier heel duidelijk over: of je nu 1 of 100 printers hebt, de beveiliging van persoonsgegevens (technisch, organisatorisch, gedrag) moet op orde zijn.
Printer en datalek
Dat dit nog lang niet overal zo is, blijkt uit de jaarrapportage datalekken 2017 van de Autoriteit Persoonsgegevens. Op plek 3 van het type datelekken staat ‘Apparaat, gegevensdrager en/of papier kwijtgeraakt of gestolen’. Het gaat dan onder andere over documenten die per ongeluk op de glasplaat van de printer zijn blijven liggen. Of over kopieën die als printopdracht zijn blijven ‘hangen’ en er pas uitrollen als iemand anders bij het apparaat staat. Herkenbaar? Dan volgt mijn vraag: is jouw organisatie voldoende beveiligd?
Veiligheid door gedrag en techniek
Printers AVG-compliant maken is geen hogere wiskunde. Organisaties die voldoende energie steken in bewustwording en gedrag zijn op de goede 
weg. Als daarnaast de IT-afdeling zich verdiept in de technische mogelijkheden van de printer, levert dat nog meer veiligheid op. Kortom: met aandacht en slimme toepassingen kom je een heel eind. En niemand hoeft het wiel opnieuw uit te vinden, want over veilig printen is veel informatie beschikbaar.
Waar staat de printer?
Veilig printen begint met goed nadenken over de plek van de printer. Worden er vaak documenten met persoonsgegevens afgedrukt, bijvoorbeeld door een HR-afdeling, een ziekenhuisadministratie of de afdeling vergunningen? Dan kun je het apparaat het beste op de afdeling zelf plaatsen, in plaats van op de gang of in een gemeenschappelijke ruimte. Iedereen die langs de printer loopt, kan immers een achtergebleven printje meenemen.
Staat de printer in een openbare ruimte, weeg dan kritisch af of dit apparaat aan het interne digitale netwerk gekoppeld moet worden. Vaak gebeurt dit onnodig en levert het tegelijkertijd een veiligheidsrisico op. Je ziet dit bijvoorbeeld bij onderwijsinstellingen. Studenten werken in de bibliotheek en kunnen daar gebruikmaken van een printer, maar daarvoor moeten ze (onnodig!) gekoppeld zijn aan het netwerk.
Wie gebruikt de printer?
Een volgend aandachtspunt is de persoonstoegang. Wie mag een bepaalde printer gebruiken? Dit veilig organiseren, is prima te doen. Bijvoorbeeld via een pasje met autorisatiebeveiliging, of door het laten invoeren van een code of gebruikersnaam met wachtwoord. Een prima systeem, maar het werkt alleen als mensen zich ook zélf bewust zijn van veilig gedrag. Voorbeeld: een medewerker heeft zijn pasje thuis laten liggen en gebruikt dat van een collega. Is dat erg? Dat hoeft niet, maar het kán tot vervelende situaties leiden. Liever niet doen dus. In het kader van veilig werken en de AVG is het vergroten van bewustwording over dit en ander gedrag een belangrijke taak van organisaties.
Printer optimaal instellen
Een belangrijk punt vormen de instellingen van de printer. Er is veel mogelijk om hiermee de veiligheid te vergroten. Jammer genoeg zijn veel organisaties zich daar niet van bewust en worden technische beveiligingstools onvoldoende ingezet. Met drie voorbeelden zal ik dit illustreren.
Ten eerste bestaat er een effectieve instelling die ervoor zorgt dat als een papierlade leeg is, de printer automatisch vanuit een andere lade het papier pakt. Hiermee voorkom je dat een niet voltooide printopdracht op een later moment hervat wordt, terwijl een ander persoon bij het apparaat staat. Simpel, maar nog lang niet overal ingesteld.
Een veilig document
Een andere instelling maakt het mogelijk dat op een geprint of gescand document komt te staan op welke datum en tijd de afdruk gemaakt is. Hiermee creëer je een ‘versienummer’. Bij gevoelige documenten is dit een extra veiligheidscheck: via de ‘datum/tijd-stempel’ kun je controleren of het om het correcte en meest actuele document gaat.
Een derde instelling die weinig gebruikt wordt, is de optie die aangeeft dat een document een kopie is en dus niet het origineel. De printer voorziet de kopie automatisch van een grijs vlak op de achtergrond.
Printer en verwerkersovereenkomst
Klanten vragen mij regelmatig of ze vanwege hun printer(s) een verwerkersovereenkomst nodig hebben, als onderdeel van de AVG. Als het puur en alleen over printers gaat, is dat zelden het geval. Wij kunnen namelijk op afstand geen persoonsgegevens in het printsysteem inzien. Ook wanneer een monteur op locatie aan een printer werkt, is een verwerkersovereenkomst niet nodig. Ten eerste omdat het voor de monteur geen primaire taak is om persoonsgegevens te verwerken. Ten tweede omdat onze medewerkers een geheimhoudingsverklaring hebben getekend voor het geval zij per ongeluk een persoonsgegeven tegenkomen.
Eenvoudige oplossingen
Nogmaals, voor een goede beveiliging zijn echt niet altijd dure tech-oplossingen nodig. Veel veiligheidsinstellingen zijn standaard in de printer ingebouwd, je hoeft ze alleen maar te activeren. En soms kan het nóg eenvoudiger. Hierbij mijn persoonlijke ultra low-tech advies: hang bij de printer een briefje met de tekst ‘Vergeet niet je originelen mee te nemen en controleer de kopieën en afdrukken die je hebt gemaakt!’.
Tim Scharn (auteur) “De enige constante factor in het IT landschap is verandering” Volg Tim op LinkedIn. En blijf op de hoogte van de laatste ontwikkelingen rondom printen.
