Place image here

27. November 2012Hans-Günter Börgmann, Geschäftsführer Iron Mountain Deutschland GmbH

Records und Archive im Outsourcing verwalten

INF

OR

MA

TIO

NS

MA

NA

GE

ME

NT

2

Was Sie erwartet

Welche besonderen Anforderungen gibt es für die Verwaltung wichtiger Unterlagen bei Dritten

Sichere Prozesse für die Verwaltung von Records und Archiven

Wie werden die 8 Grundprinzipien von GARP abgebildet?

Records Management im Outsourcing: wie mache ich das einfach und intuitiv?

Wussten Sie schon…?

300.000 €

Ist die Höhe des Bußgeldes, das bei

einem Verstoß gegen das

Datenschutzgesetz verhängt werden

kann.

Quelle: BDSG

72 %

aller Unternehmen finden nach

eigenen Angaben externe

Informationen schneller als firmeneigene

Daten.Quelle: The Association for Information and Image Management

35 %

der Arbeitszeit verbringen

Mitarbeiter mit der Suche nach

Informationen

Quelle: IDC

43 %

aller Unternehmen

erholen sich nicht mehr von einem katastrophalen Datenverlust.

Quelle:  Basware Forschungsbericht Lost in Translation 2010

5

Das A und O eines sicheren Archivmanagements

Wissen…

• welche Dokumente aufbewahrt werden müssen

• wer auf die Dokumente zugreifen darf und zugreift

• wo die Dokumente aufbewahrt sind

• wie lange Dokumente aufbewahrt werden müssen

• wie auf Dokumente zugegriffen wird

• wann Dokumente sicher vernichtet werden müssen

6

Externes Archivmanagement: Stufenplan

1. Analyse des Unternehmens/Archivierungsortes

2. Schaffung nachhaltiger (Akten-) Strukturen

3. Erfassung aller Akten

4. Festlegung einheitlicher Beschriftungen

5. Regelung der Zugriffe/lückenlose Nachweiskette

6. Festlegung der Aufbewahrungsfristen

7. Regelmäßige Überprüfung der Strukturen

7

Anforderungen an Unternehmen

• Strategische Aufgabe: Risikomanagement Einführung eines effizienten Überwachungssystems

• Regelungs- und Handlungsbedarf Analyse der Systeme einschl. der Schwachstellen, Transparenz Einführung eines Berichtswesens Einführung eines Sicherheitskonzeptes (inkl. Katastrophen- und Zugriffsschutz) Klare Regelung der Zuständigkeiten Risikoklassifizierung der IT-Systeme Nutzungsberechtigungskontrolle (Software) Professionelle Beschaffung von IT-Systemen und IT-Dienstleistungen Einführung eines effizienten Kontrollsystems

Auslagerung an Profis möglich

Sichere Prozesse für die Verwaltung von Records und Archiven

Der Informationsweg zum Dienstleister

Kurier scanntBox/Akte vor Ort

Übergabe des Verwahrten

Ggf. automatischeE-Mail Bestätigung

der Abholung

Flexibler Zugriff

z.B. über Iron Mountain-Connect

Scannenam Archivierungsort

Automatische Rechnungsstellung

Datenerfassung und lückenlose Übergabe der Unterlagen

Indexieren derUnterlagen beim Eintreffen

im Archivcenter

OptionalePremium-Verarbeitung

(Dateneingabe, ggf. Einscannen, Klassifierung)

Auftrag zur Abholungper IM-Connect/Fax/E-Mail

AufbringungBarcode

ElektronischeUnterschrift

IM-Fahrer trifft ein

SichererTransport

Wie werden die 8 Grundprinzipien von GARP abgebildet?

11

Grundprinzipien von GARP1. Principle of Accountability - Prinzip der Verantwortlichkeit

Innerhalb eines Unternehmens sollte es eine Führungskraft geben,

die ein Records Management-System überwacht und

System-Verantwortung an geeignete Personen delegiert sowie

bestimmte Programm- Anforderungen adaptiert.

Outsourcing nicht möglich / Chefsache

12

Grundprinzipien von GARP2. Principle of Integrity - Prinzip der Integrität

• Richtigkeit und Einhaltung der Richtlinien und Verfahren des Unternehmens (Governance und Compliance)

• Zuverlässige, angemessene und wiederholte Information Management Ausbildung

• Zuverlässigkeit und Richtigkeit von Records Inhalten und Kontext

• Verlässlicher und auswertbarer Audit-Trail• Zuverlässigkeit und Verfügbarkeit des Systems

13

Grundprinzipien von GARP3. Principle of Protection - Prinzip der Sicherung

• Angemessenes Maß an Schutz für unternehmenskritische Dokumente

• Steuerungs- und Kontrollmechanismen für den gesamten Lebenszyklus von Informationen

• Angemessene Sicherheitsstrukturen mit exklusiven Zugangsberechtigungen

Hochsicherheitsarchive von Iron Mountain

– Stahltüren, Sicherheitszäune, Brandschutzmauern, Kameras– Brandschutz– Rund-um-die-Uhr-Überwachung– Zugangskontrollen– Mitarbeiter nach BDSG verpflichtet– regelm. Mitarbeiterüberprüfung

14

Grundprinzipien von GARP4. Principle of Compliance - Prinzip der Compliance

• Das Records Management System selbst ist Gegenstand der gesetzlichen Anforderungen, wie z. B. Anforderungen an Steuer- oder sonstige Aufzeichnungen

• Unternehmen müssen wissen, welche Informationen geführt werden müssen, um einen Nachweis der ordnungs-, rechts- und gesetzmäßigen Durchführung der Geschäftsaktivitäten zu besitzen

• Unternehmen müssen Informationen in der gesetzlich vorgeschriebenen Weise als Records deklarieren und im Kontext wiederauffindbar aufbewahren

• Dokumente müssen gemäß den gesetzlichen oder regulativen Vorgaben nachweisbar aufbewahrt werden

15

Einige Rechtsnormen

• Sarbanes Oxley Act

• GDPDU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)

• §91 Abs. 2 AktG, KonTraG Art. 8 Nr. 9c: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“

• BDSG - Dokumente enthalten personenbezogene Daten §9 und Anlage zu §9 BDSG: Datensicherheit, Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-; Verfügbarkeitskontrolle, Trennungsprinzip

• TKG (§§ 88 ff. – Fernmeldegeheimnis, TK-Datenschutz)

• §203 StGB (Privatgeheimnis)

• §§146f. AO ( Buchführung im Ausland und Aufbewahrungspflicht)• …

16

Grundprinzipien von GARP5. Principle of Availability - Prinzip der Verfügbarkeit

• Organisationen müssen in der Lage sein, alle Dokumente die für die Aufbewahrung relevant sind zu erkennen, zu klassifizieren, zu lokalisieren und abrufen zu können.

Outsourcing an einen Dienstleister möglich

17

Grundprinzipien von GARP6. Principle of Retention - Prinzip der Aufbewahrung

• Beschreibt die Aufbewahrungsdauer und den Lebenszyklus von Informationsobjekten während der Aufbewahrung

• Unternehmen müssen Dokumente für eine angemessene, zum Teil vorgegebene Zeit aufbewahren. Unter Berücksichtigung folgender Rahmenbedingungen:

• Rechtliche• Aufsichtsrechtliche• Steuerliche• Betriebliche• Historische

18

Aufbewahrungsfristen

• 10 Jahre: Buchhaltung, Buchungen, Bilanzen, Organisationsunterlagen, Rechnungen

• 6 Jahre: Versandte und empfangene Handelsbriefe (einschließlich E-Mails)

• Beginn der Fristen erst am Ende des Jahres des Vorganges (z.B. Empfang von E-Mails, Datum des Buchungsbeleges)

Besser mindestens 10 Jahre aufbewahren

• => Jahressteuergesetz 2013 (Aufbewahrungsfrist)

19

Grundprinzipien von GARP7. Principle of Desposition - Prinzip der Entsorgung

• Organisation sind dazu verpflichtet sicher zu stellen, dass alle Kopien und Versionen der Dokumente entsorgt werden und einen Nachweis hierüber zu führen

• Vernichtungsstufen (DIN 32757):• Stufe 1: max. 1.000 mm²• Stufe 2: max. 400 mm²• Stufe 3: max. 1 mm²• Stufe 4: max. 0,5 mm²• Stufe 5: max. 0,2 mm²

Zusatzmaßnahmen: Vermischen oder Verpressen

20

Grundprinzipien von GARP8. Principle of Transparency - Prinzip der Transparenz

• Die Prozesse und Aktivitäten sollten von dem Records Management System in verständlicher Art und Weise dokumentiert werden und für alle befugten Nutzer verfügbar sein.

z.B. über das Online Portal IM Connect:• Liefert Nachweiskette über alle Bewegungen und Zugriffe auf Akten• Zahlreiche Berichte können selbst kreiert werden, z.B.:

• Aktenbestand• Aktenbewegungen• Zugriffe• Zugriffsberechtigungen• Ablauf der Aufbewahrungsfristen

21

Records Management im Outsourcing: wie mache ich das einfach und intuitiv?

Lösungen über den gesamten Informations-lebenszyklus

Analyse/BeratungAbholung/Anlieferung der

Papierunterlagen oder Datenträger

Sichere Archivierungund Schutz

12 Iron Mountain-Hochsicherheitscenter

Ggf. digitalisieren der Papierunterlagen

Flexibler Zugriff 24/7 – digital oder

Zustellung per Kurier

Sichere Vernichtung

Archivmanagement • Daten-trägersicherung • Scanlösungen

…auf einen Blick

Kosten- reduzierung

Zeit- & Platz-ersparnis

EffizienteArbeitsabläufe

Risikominimierung von Datenverlusten

Gewährleistung von Sicherheit

Flexibler Zugriffauf Daten

Vorschriften-einhaltung

Erfahrungen aus einer Hand

24

Vielen Dank!