Wanneer persoonsgegevens op gegevensdragers worden opgeslagen, is het belangrijk om deze goed te beveiligen en te bewaren. In sommige gevallen zal men de gegevensdragers opschonen of zal men de datadragers vernietigen. Opschonen is bijvoorbeeld nodig als de onderneming de computers aan een liefdadigheidsinstelling schenkt. Het is dan niet de bedoeling dat de persoonsgegevens nog op de computer aanwezig zijn. Het een en ander opschonen, is dan verplicht.
De datadragers vernietigen, is dan weer een oplossing voor datadragers die niet langer (kunnen) worden gebruikt. We zullen dan de datadragers vernietigen, zodat niemand onrechtmatig toegang kan krijgen tot de persoonsgegevens. Of het nu gaat om de datadragers vernietigen of opschonen: het is belangrijk dat de verwerkingsverantwoordelijken dat goed doen. Door een schaarste aan referentiedocumenten met betrekking tot dit onderwerp heeft de Belgische Gegevensbeschermingsautoriteit (GBA) hier eerder zelf een aanbeveling (pdf) over uitgebracht. We lichten het een en ander voor je toe.
Beleid omtrent datadragers vernietigen of opschonen
De GBA geeft aan dat het bij datadragers vernietigen of opschonen in ieder geval zo moet zijn dat dit onomkeerbaar is en dat het moet verlopen onder toezicht van de verwerkingsverantwoordelijke. Bovendien dient dit gedocumenteerd te zijn en op het juiste moment te worden uitgevoerd, rekening houdend met de diverse termijnen. De GBA adviseert om daarbij de volgende stappen te doorlopen:
- Een beleid omtrent opschoning en vernietiging van gegevensdragers ontwikkelen
- Een inventaris opstellen met apparatuur die voor opschoning of vernietiging is aangeduid
- Een risicoanalyse uitvoeren
- Beveiligingsmaatregelen treffen om te voorkomen dat persoonsgegevens tijdens de opschoning of nadien worden gecompromitteerd
- Evalueren van de ondernomen acties
- Documenteren van alle afzonderlijke stappen
Het is belangrijk dat er bewijzen zijn met betrekking tot de getroffen maatregelen, bijvoorbeeld door de verwerker een attest van vernietiging te laten afgeven of door te werken met ooggetuigen.
Verschillende manieren om persoonsgegevens te “verwijderen”
Er zijn drie verschillende manieren om komaf te maken met de persoonsgegevens: clear, purge en destroy. In de praktijk kiezen veel ondernemingen voor het overschrijven van de gegevens. Het probleem met overschrijven is dat sommige gegevens zich nog steeds op de drager kunnen bevinden. Dat is afhankelijk van hoe doeltreffend deze overschrijving was. Er bestaat speciale software die door onafhankelijke laboratoria is ontwikkeld en die een hogere mate van doeltreffendheid bereiken. Aanvullend kan er gebruik worden gemaakt van cryptografisch wissen. Daarbij versleutelt men de gegevens en vernietigt men vervolgens de sleutel die decodering mogelijk maakt.
Een andere manier om de persoonsgegevens te verwijderen, is door de data te verwijderen met een magneet. Daarvoor heb je een speciale degausser nodig. Het prijskaartje is niet min. Neem bijvoorbeeld de professionele Intimus 9000 Degausser die ruim 17.500 euro (excl. btw) kost. Dat is een erg goede degausser en als je er het geld voor hebt, zou ik niet twijfelen. Maar voor de kleine zelfstandige is dat wellicht wat te prijzig.
Datadragers vernietigen biedt de beste garantie
In sommige gevallen geeft de GBA aan dat de datadragers vernietigen de voorkeur krijgt. Dat is met name het geval als de drager defect is, de apparatuur die nodig is om toegang te krijgen tot de gegevens niet meer beschikbaar is, er geen opschoningsmogelijkheden zijn of als de opschoning niet voldoende zekerheden oplevert. Ook vanuit financieel oogpunt is datadragers vernietigen vaak voordeliger dan ze op te schonen. Er zijn verschillende manieren om datadragers te vernietigen.
In de eerste plaats kan men datadragers vernietigen door middel van fysieke vervormingstechnieken. Het gaat dan bijvoorbeeld om het boren, snijden of plooien van gegevensdragers. Ook versnipperen, verpletteren, desintegreren en verbranding zijn manieren om datadragers te vernietigen.
Bij het maken van de risicoanalyse moet er rekening mee worden gehouden dat gegevens vaak nog steeds aanwezig zijn op de drager, zelfs na de datadragers te vernietigen. Dat is zelfs het geval bij het versnipperen. Een klein fragment van een harde schijf kan nog steeds enkele gigabytes aan gegevens bevatten. Bij heel privacygevoelige gegevens komt men daarom uit bij een volledige vernietiging van de drager. Dat wil zeggen dat de drager wordt gesublimeerd (gasvormig gemaakt) of gesmolten (vloeibaar gemaakt). Om een volledige vernietiging van de gegevens te bekomen, moet de toestand van de drager dus worden veranderd van vast naar gas of van vast naar vloeibaar.
Datadragers vernietigen: uitbesteden is aan te raden
Het vernietigen van gegevensdragers met persoonsgegevens is een echt expertisegebied. De benodigde apparatuur is bovendien heel prijzig. Bij gevoelige persoonsgegevens is het met andere woorden aan te raden om het proces van datadragers vernietigen aan een expert over het laten. Het is daarnaast belangrijk om informatie met betrekking tot de vernietiging te bewaren. Bedrijven die datadragers vernietigen, leveren veelal attesten af. Het attest van vernietiging dient volgens de GBA de volgende informatie te bevatten:
- Datum en locatie van de vernietigingsprocedure
- Organisatie en de persoon die de vernietiging heeft uitgevoerd
- De gegevensdrager en de apparatuur waarin deze drager zich bevindt
- De gebruikte vernietigingstechniek
- De verificatiemethode en het resultaat van deze verificatie
- De bestemming van de drager
- Validering van het attest
De GBA raadt aan om het attest minstens 5 jaar te bewaren. In sommige gevallen is er zelfs sprake van een wettelijke verjaringstermijn van 10 jaar.