Veilig gegevens wissen: het waarom, wat en hoe

Drie redenen om serieus werk te maken van gegevensverwijdering

• Een belangrijk doel van informatieverwijdering is om het risico op ongewenste openbaarmaking van gevoelige informatie te beperken. Je wilt voorkomen dat (gevoelige) gegevens terechtkomt in de handen van onbevoegden, zoals cybercriminelen.
• Daarnaast hebben organisaties te maken met juridische verplichtingen rond de opslag van gegevens, zoals contractuele afspraken en de vereisten van wet- en regelgeving. Bijvoorbeeld de Algemene verordening gegevensbescherming (AVG) verplicht organisaties om persoonsgegevens veilig te verwijderen zodra deze niet meer relevant zijn.
• Verder kan de onjuiste verwijdering van informatie leiden tot een datalek. Met alle gevolgen van dien. Denk aan een boete van de toezichthouder en reputatieschade.

Vijf technieken om informatie veilig te wissen

• Data-overwriting: data worden overschreven met andere informatie om het origineel - deels of volledig onleesbaar te maken.
• Degaussing: informatie die is opgeslagen op harde schijven wordt gewist met een proces dat gebruik maakt van sterke magnetische velden.
• Cryptografische verwijdering: versleutelde informatie wordt onbruikbaar gemaakt door de vernietiging van de sleutels.

• Shredding: papieren documenten worden onherstelbaar versnipperd.
• Verbranding: papieren documenten worden volledig verbrand.

Vijf best practices

• Maak beleid en procedures over de verwijdering van informatie. Denk aan thema's zoals: wanneer data moeten worden gewist; welke technieken worden gebruikt om (digitale en print) informatie te verwijderen; wie er verantwoordelijk is voor dataverwijdering; en hoe de werkwijzen worden gedocumenteerd en gecontroleerd.

• Gebruik betrouwbare technieken om informatie te wissen. Kies bij de overschrijving van informatie voor gecertificeerde software. Hanteer strikte procedures om data te wissen van apparaten zoals harde schijven. Selecteer een gecertificeerde dienstverlener om papieren documenten en ongebruikte hardware te laten vernietigen.

• Let op verouderde hardware. Opslagmedia, zoals harde schijven, USB-sticks en tapes, moeten op een veilige manier worden vernietigd wanneer ze niet langer in gebruik zijn. Shredding is bijvoorbeeld een optie voor de volledige vernietiging van een harde schijf.

• Controleer de verwijdering van informatie. Het is belangrijk dat de werkprocessen voor de verwijdering en vernietiging van informatie worden gedocumenteerd en gecontroleerd. Dat is mogelijk door bijvoorbeeld logging van dataverwijdering, periodieke audits van de vastgestelde procedures, en controles op de juistheid en volledigheid waarmee informatie wordt gewist.

• Zorg voor awareness van medewerkers. Medewerkers spelen een sleutelrol in de juiste omgang met dataverwijdering. Breng medewerkers daarom op de hoogte van waarom informatie moet worden gewist en wat zij daaraan kunnen doen. Praktische adviezen zijn bijvoorbeeld om regelmatig de e-mailbox op te schonen, periodiek de digitale prullenbak te legen, en altijd papieren documenten te versnipperen.