Vooralsnog is je beste beveiliging: Mensen bewust maken van de problemen, een flinke juridische stok achter de deur (NDAs etc.), en dan zorg dragen voor een solide omgeving. Waarbij "solide omgeving" veel meer omvat dan wat servertjes en VPNetjes; er horen duidelijke procedures over wat er wel en niet met de data mag gebeuren bij.

Dat betekent dus dat je niet vooraf jezelf in de vingers gaat snijden. Als dat betekent dat outlook onvoldoende is, dan mag dat niet meer gebruikt worden. Sowieso betekent dat de data op vreemde computers terecht komt, wat je ook al niet wil.

Als de informatie gevoelig genoeg is dat ze niet zonder encryptie mag worden opgeslagen, dan mag er geen toegang toe verkregen worden met machines zonder full-disk encryptie. Desnoods stel je netjes ingerichte laptopjes ter beschikking en gebruik die maar. Of weetikhet, remote desktops (eventueel OS smaak naar keuze) op serverts onder jouw beheer en de enige interface is een remote viewer applicatie (die dan ook weer niet onnodig aan een OS gebonden hoeft te worden) en een toegang via een eigen snel netwerk.

Het klinkt extreem, maar anders print je de zooi maar uit en nodig belanghebbenden uit om de stukken in te komen zien op jouw beveiligde faciliteit; op papier en niet anders, en er gaat geen blaadje de deur door. Alles in de kluis danwel de shredder voor de deur weer van het slot gaat. Heel simpel.

Als daar niets van haalbaar is, nou, schrijf maar vast het persbericht voor als het fout gaat. Beveiliging is geen geintje; als de stukken maar belangrijk genoeg zijn dan laten de veiligheidsoverwegingen gewoon niet toe dat er vooraf grote gaten in de beveiliging gelaten worden wegens "haalbaarheid" bij "managers". Doe je dat wel, dan kun je net zo goed niet beveiligen.

Met andere woorden, ga eerst eens inventariseren hoeveel er wel en niet mag met de data, plak desnoods een prijs op eventueel verlies, en kom daarna met een plan hoe dat functioneel, procedureel, en oh ja ook nog technisch op te lossen.