- HSM
- Schreddern
- Sonstiges
- Informatie over gegevensbescherming
- Recht
- Data vernietigen juridische basis
Data veilig vernietigen – de juridische basis
Sinds mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG) in Europa. Deze regelt uniform het omgaan van ondernemingen met persoonsgebonden data. Deze regelt ook eenduidig de omgang van ondernemingen met persoonsgebonden data. Deze omgang houdt aan de ene kant de opslag en aan de andere kant het conforme wissen van deze data in. Vooral in de zakelijke wereld speelt de veilige en databeschermingsconforme datavernietiging een grote rol, omdat hier de opslag van persoonsgebonden data in de afgelopen jaren enorm is toegenomen. Zo gelden enerzijds de wettelijke bewaartermijnen en anderzijds het bestaande recht op het wissen.
Data veilig vernietigen – de belangrijkste punten
De Algemene Verordening Gegevensbescherming (AVG) schrijft voor, dat persoonsgebonden data slechts zo lang opgeslagen mogen worden, als dat dit voor het benodigde gebruik noodzakelijk is. Dat betekent, dat data na het bedoelde gebruik gewist dienen te worden, mits er geen wettelijke of contractuele bewaringstermijnen van toepassing zijn (artikel 5 lid 1e van de AVG).
Het recht op wissen
Volgens artikel 17 lid 1 (AVG) hebben de betrokken personen het recht op wissen van hun persoonsgebonden data / bestaat het recht van de betrokken personen op het wissen van hun persoonsgebonden data. Dat betekent, de betrokkene kan van de verantwoordelijken verlangen, dat zijn persoonsgebonden gegevens onmiddellijk gewist worden.
Bij het wissen van persoonsgebonden data is het in het algemeen voldoende, wanneer de datadrager, waarop de te wissen data zich bevinden, fysiek vernietigd wordt. Want ook de vernietiging van datadragers betekent een vorm van het wissen.
NIET voldoende is het daarentegen, wanneer de datadragers simpel verwijderd, dus bijvoorbeeld in een prullenbak geworpen worden.
Data veilig vernietigen – soorten datadragers
Voor de opslag van persoonsgebonden of andere gevoelige data kunnen verscheidene soorten datadragers ingezet worden:
- P: Datadragers op papier zoals aktes of complete ordners
- O: Optische datadragers zoals cd‘s, dvd‘s
- T: Magnetische datadragers zoals magneetkaarten of diskettes
- E: Elektronische datadragers zoals USB-sticks of chipkaarten
- F: Informaties in verkleinde vorm zoals filmrollen of folie
- H: Harde schijven met magnetische datadragers
Data veilig vernietigen – vernietiging van datadragers
Onafhankelijk van de keuze van de gebruikte datadrager geldt het databeschermingsconforme wissen resp. vernietigen volgens de wettelijke voorschriften.
De vernietiging van deze datadragers vallen onder de richtlijnen DIN 66399. Deze richtlijn is onder te verdelen in drie delen:
DIN 66399-1:
Hier worden grondbeginselen zoals beschermingsbehoefte, beveiligingsfactoren en veiligheidsniveaus toegelicht. Want afhankelijk van de beschermingsfactor van de te vernietigende data leidt dit tot het daarbij passende veiligheidsniveau. HSM adviseert om voor datadragers met bijzonder gevoelige en vertrouwelijke data waarvoor een verhoogde beschermingsfactor gewenst is, bijv. balansgegevens, salarisstroken, personeelsaktes, arbeidsovereenkomsten en belastingdocumenten, en die op papier staan, een datavernietiger in veiligheidsniveau P-4 in te zetten.
Lees hierover meer op onze site Klassen bescherming.
DIN 66399-2:
Het tweede deel van de richtlijn DIN 66399 regelt de classificering van datadragers evenals de geldende vereisten aan apparatuur.
DIN 66399-3:
Het derde deel van de norm omschrijft drie verschillende processen tot datavernietiging: Die Datenträger werden durch die verantwortliche Stelle selbst vernichtet
- De datadragers worden door de verantwoordelijke op de werkplek zelf vernietigd
- De datadragers worden intern door een externe dienstverlener vernietigd
- De datadragers worden door een dienstverlener op een externe plaats vernietigd
De voordelen van een inpandige datavernietiger, kunt u nalezen op onze site Interne vs. externe datavernietiging.
Data veilige vernietigen – aanbeveling door de expert
Om de richtlijnen DIN 66399 correct toe te passen adviseert HSM een inpandige datavernietiging, dat betekent de vernietiging van persoonsgebonden data direct daar waar ze ontstaan. Onthoud de stelregel: hoe korter de afstand tussen ontstaan van de data en de vernietiging ervan is, hoe meer zekerheid.
Afhankelijk van het soort van de te vernietigende datadagers en beschermingsfactoren van de zich daarop bevindende data, is het advies om een data-/mediavernietiger aan te schaffen met een minimaal veiligheidsniveau van P-4/H-4. Echter is een aanschaf van een aparte mediavernietiger vaak niet nodig, omdat moderne datavernietigers, afhankelijk van hun voorzieningen bijna alles kunnen vernietigen – papier, cd’s, id-kaarten, USB-sticks, chipcards, flash geheugens, films en folies. En veelal met een separate opvang van het snijgoed voor een juiste afvalsortering.
Ook hier gelden voor de vernietiging, afhankelijk van de beschermingsbehoefte, verschillende beschermingsfactoren en veiligheidsniveaus met uiteenlopende snipperformaten.
