Onderzoek Symantec: grote kloof tussen plan en praktijk bij retentiebeleid

De resultaten van het Information Retention and eDiscovery 2012 onderzoek van Symantec laten zien hoe bedrijven omgaan met de alsmaar groeiende hoeveelheden aan elektronisch bewaarde informatie en hoe ze zich voorbereiden op een mogelijk eDiscovery-verzoek. Uit het onderzoek blijkt dat het percentage organisaties zonder een formeel plan voor informatieretentie is gehalveerd sinds het onderzoek in 2011. Ondanks deze verbetering worstelen organisaties nog steeds met de implementatie van hun plannen voor informatieretentie, aangezien slechts bij een derde van de organisaties het plan volledig operationeel is.

Niet-geïmplementeerde plannen risicovol voor organisaties
Bijna twee derde (60 procent) van de organisaties geeft aan te beschikken over een formeel retentieplan, maar slechts 34 procent geeft aan dat die plannen volledig operationeel zijn. De kosten voor de implementatie van de plannen is genoemd als de meest voorkomende reden waarom organisaties achterblijven in de implementatie van hun plannen. Het onderzoek laat zien dat slechts 7 procent van de organisaties helemaal geen plan heeft. Dit is de helft van het percentage in 2011, toen was het namelijk 14 procent.

Nog zorgwekkender is dat terwijl organisaties gemiddeld 17 verzoeken voor elektronisch bewaarde informatie ontvangen, deze verzoeken in 31 procent van de gevallen mislukken. Dit is aanzienlijk hoger dan de 20 procent mislukte verzoeken gerapporteerd in 2011. Elke keer dat een verzoek mislukt, loopt een organisatie risico. 43 procent geeft aan dat het onvermogen om op tijd beslissingen te nemen het grootste gevolg is van deze mislukte verzoeken. Andere gevolgen die worden genoemd, zijn reputatieschade, een in gevaar komende rechtspositie, boetes, verhoogde zichtbaarheid als gerechtelijk doelwit en gerechtelijke sancties.

Geen verbetering in kloof tussen retentieplan en –praktijk
Er is een aanzienlijke kloof tussen het plan en de praktijk van rententiebeleid en dat is niet significant veranderd ten opzichte van vorig jaar. 81 procent van de respondenten gelooft dat een goed plan voor informatieretentie organisaties in staat stelt informatie te verwijderen op continue basis. Toch wordt 42 procent van de backups door organisaties voor onbepaalde tijd bewaard. Dit is onveranderd sinds de resultaten in 2011. Bovendien wordt informatie door organisaties vaak verwijderd zonder het erkende retentiebeleid na te gaan.

De meest genoemde negatieve gevolgen van het bewaren van meer elektronische data dan nodig, zijn: toenemende kosten die samengaan met verzamelen, analyse en controle (54 procent); er wordt teveel tijd besteed aan het verzamelen, analyseren en controleren van elektronisch bewaarde informatie (47 procent); verhoogd risico dat gevoelige informatie mogelijk openbaar wordt (44 procent); in gevaar komende positie wat betreft mogelijke of werkelijke geschillen (27 procent); en informatie die onbedoeld beschikbaar wordt gemaakt voor mogelijke, toekomstige geschillen (28 procent).

Het onderzoek laat ook zien dat organisaties informatie langer bewaren dan noodzakelijk. Bovendien bewaren ze data voor wettelijke opslag liever binnen backups dan binnen archieven, waarmee de efficiëntie verlaagt op het moment van uitvoering van een eDiscovery-verzoek. Het onderzoek toont dat 38 procent van de data die organisaties in backup houden overbodig is of niet in backup bewaard hoeft te worden. Feitelijk zeggen respondenten dat een derde van de backup-data (34 procent) niet bewaard zou hoeven worden en onnodig is wat betreft het risico tot geschillen.

Meer dan de helft van de organisaties bewaart die data voorgoed: 56 procent van de organisaties geeft aan dat hun backup-opslag gebruikt wordt voor oneindig behoud dat bedoeld is voor wettelijke opslag. Dit aantal is gestegen ten opzichte van 43 procent in 2011 en wordt alleen maar groter. Verder gebruikt 85 procent van de organisaties hun backups voor ‘legal holds’.  Backups zijn niet niet ontworpen om als ‘legal holds’ ingezet te worden. Een formeel archief is hiervoor wel bedoeld en veel meer geschikt.

Meerderheid van de organisaties ervaart gevolgen wet- en regelgeving in dataprivacy
Zoals verwacht, hebben wet- en regelgeving op het gebied van dataprivacy aanzienlijke impact op organisaties. 53 procent van de organisaties geeft aan dat wet- en regelgeving invloed heeft op initiatieven voor archivering en eDiscovery. Toch zijn er veel redenen dat respondenten elektronisch opgeslagen informatie verzamelen, namelijk: geschillen (60 procent); interne onderzoeken (59 procent); interne compliance-initiatieven (58 procent); compliance met internationale wet- en regelgeving (57 procent); compliance met lokale wet- en regelgeving (55 procent); overheidsonderzoek (52 procent); en publieke informatieverzoeken (46 procent).

“Het onderzoek benadrukt dat, ondanks het verminderd aantal bedrijven zonder plan voor informatieretentie, bedrijven hun plannen niet volledig hebben gefinancierd en geïmplementeerd”, zegt Erik van Veen, Senior Manager Technical Sales Organisation bij Symantec Nederland. “Met een toename in het aantal eDiscovery-verzoeken en het aantal mislukte pogingen om gevraagde informatie op te halen, hebben organisaties te maken met risico’s die op de lange termijn veel kostbaarder zijn dan de implementatie van hun plannen.”