De Algemene verordening gegevensbescherming (AVG) stelt duidelijke eisen aan hoe organisaties omgaan met persoonsgegevens. Toch wordt één aspect daarbij vaak over het hoofd gezien: printen. Of het nu gaat om patiëntgegevens, personeelsdossiers of financiële rapporten, het afdrukken van vertrouwelijke informatie brengt risico’s met zich mee. In deze blog leggen we uit waarom veilig printen belangrijk is binnen de context van de AVG, en welke verantwoordelijkheden organisaties daarbij hebben.
Wat zegt de AVG over printen?
De AVG noemt printen niet letterlijk, maar stelt wél eisen aan de beveiliging van persoonsgegevens. Organisaties zijn verplicht om passende technische en organisatorische maatregelen te nemen om datalekken te voorkomen. Printen valt daar gewoon onder.
Als een vertrouwelijk document onbeheerd op een printer blijft liggen, of in verkeerde handen valt, kan dat worden beschouwd als een datalek. En dat betekent dat de organisatie verantwoordelijk is voor de gevolgen.
Waar zitten de risico’s?
In veel werkomgevingen is printen nog steeds een dagelijks onderdeel van de bedrijfsvoering. Toch worden de risico’s vaak onderschat. Enkele veelvoorkomende situaties die onder de AVG-problematiek vallen:
- Documenten blijven liggen op gedeelde printers
- Printopdrachten worden per ongeluk naar de verkeerde printer gestuurd
- Geen logging of inzicht in wie wat print
- Gebrek aan authenticatie vóór het ophalen van een printopdracht
- Oud papier met persoonsgegevens wordt niet correct vernietigd
Zeker in omgevingen zoals de zorg, het onderwijs, de overheid of het juridisch domein kunnen zulke incidenten ernstige gevolgen hebben.
Verantwoordelijkheden volgens de AVG
Organisaties zijn verplicht om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang of verspreiding. Daarbij geldt het principe van “data minimalisatie” en “beveiliging door ontwerp en standaardinstellingen”. Dat houdt in dat je systemen zó moet inrichten dat ze standaard zo veilig mogelijk omgaan met gegevens.
Concreet betekent dit voor printomgevingen bijvoorbeeld:
- Alleen geauthenticeerde gebruikers mogen printen
- Printopdrachten moeten pas worden uitgevoerd na bevestiging bij de printer (follow-me printing)
- Logging en rapportages zijn noodzakelijk voor verantwoording
- Verwijderde of mislukte printopdrachten mogen geen gegevens achterlaten op systemen of in de wachtrij
Daarnaast moet er beleid zijn over wie mag printen, wat er geprint wordt, en hoe geprinte documenten worden behandeld.
AVG-boetes en printincidenten
Hoewel veel AVG-boetes zich richten op digitale datalekken, zijn er ook incidenten geweest waarbij papieren documenten centraal stonden. Denk aan zorginstellingen waar patiëntgegevens op verkeerde plekken terechtkwamen of onderwijsinstellingen waar tentamenresultaten onbeveiligd zijn geprint en verspreid.
Een organisatie kan niet volstaan met alleen IT-maatregelen op digitaal vlak. Ook papieren processen vallen onder de AVG en moeten aantoonbaar veilig zijn ingericht.
Hoe weet je of je printomgeving AVG-proof is?
Een goede eerste stap is een risicoanalyse van je huidige printomgeving. Kijk daarbij naar vragen als:
- Worden printers gedeeld tussen meerdere afdelingen of gebruikers?
- Is er sprake van identificatie of autorisatie bij het ophalen van prints?
- Heb je zicht op wat er wordt geprint, door wie en wanneer?
- Worden gevoelige documenten fysiek beveiligd of vernietigd?
Als het antwoord op deze vragen niet duidelijk of negatief is, bestaat de kans dat je printomgeving niet voldoet aan de AVG-normen.
Hybride werken maakt het ingewikkelder
Nu steeds meer mensen op afstand werken of op flexibele werkplekken zitten, neemt de uitdaging rond veilig printen toe. Denk aan medewerkers die printen via VPN-verbindingen, thuisprinters of gedeelde werkplekken. In zulke situaties is het extra belangrijk om richtlijnen op te stellen en technische maatregelen te treffen die consistent en schaalbaar zijn.
Tot slot
Veilig printen is geen luxe, maar een verplichting onder de AVG. Organisaties die persoonsgegevens verwerken – en dat zijn er vrijwel altijd – moeten hun printinfrastructuur net zo serieus nemen als hun digitale beveiliging.
Het bewustzijn hierover groeit, maar veel printomgevingen zijn nog kwetsbaar ingericht. Een evaluatie van je printbeleid en technische inrichting is geen overbodige luxe. Niet alleen om boetes te voorkomen, maar vooral om zorgvuldig om te gaan met gegevens van klanten, patiënten, leerlingen of medewerkers.