Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Veilig gegevens wissen: het waarom, wat en hoe

woensdag 05 februari 2025

We zijn allemaal geneigd om veel gegevens te bewaren, omdat de informatie misschien in de toekomst nog nuttig is. Maar de opslag van grote hoeveelheden data is niet effectief, en soms zelfs in strijd met de wet- en regelgeving. Hoe wis je op een veilige manier precies de informatie die niet meer nodig is?

Voor veel organisaties is het makkelijk om grote hoeveelheden gegevens te bewaren. Maar er is een keerzijde aan de grootschalige opslag van informatie. Je ziet door de bomen het bos niet meer, en er ontstaan bovendien privacy- en security-risico's. Het is daarom belangrijk om alle informatie te wissen die niet langer nodig is - op een verantwoorde en veilige manier.

Drie redenen om serieus werk te maken van gegevensverwijdering

De verwijdering van informatie is een belangrijk onderdeel van informatiebeveiliging. Zo beschrijft ISO 27001 gegevensverwijdering als een preventieve beheersmaatregel. Het gaat erom dat de organisatie data wist die is opgeslagen in systemen en apparaten maar niet langer nodig is.

Ook voor organisaties die geen ISO-certificering nastreven, zijn er goede redenen om werk te maken van gegevensverwijdering.

- Een belangrijk doel van informatieverwijdering is om het risico op ongewenste openbaarmaking van gevoelige
   informatie te beperken. Je wilt voorkomen dat (gevoelige) gegevens terechtkomt in de handen van onbevoegden,   
   zoals cybercriminelen.

- Daarnaast hebben organisaties te maken met juridische verplichtingen rond de opslag van gegevens, zoals
   contractuele afspraken en de vereisten van wet- en regelgeving. Bijvoorbeeld de Algemene verordening
   gegevensbescherming (AVG) verplicht organisaties om persoonsgegevens veilig te verwijderen zodra deze niet meer
   relevant zijn.

- Verder kan de onjuiste verwijdering van informatie leiden tot een datalek. Met alle gevolgen van dien. Denk aan een
   boete van de toezichthouder en reputatieschade.


Vijf technieken om informatie veilig te wissen

De veilige verwijdering van informatie betekent dat de gewiste data niet meer gereconstrueerd, gelezen of hersteld kunnen worden. Dit is belangrijk voor digitale informatie, maar ook voor informatie die op papier staat.

Veelgebruikte technieken om digitale informatie veilig te wissen:

- Data-overwriting: data worden overschreven met andere informatie om het origineel - deels of volledig -
   onleesbaar te maken.
- Degaussing: informatie die is opgeslagen op harde schijven wordt gewist met een proces dat gebruik maakt van
   sterke magnetische velden.
- Cryptografische verwijdering: versleutelde informatie wordt onbruikbaar gemaakt door de vernietiging van de
   sleutels.

Veelgebruikte technieken om informatie op papier veilig te verwijderen:

- Shredding: papieren documenten worden onherstelbaar versnipperd.
- Verbranding: papieren documenten worden volledig verbrand.


Vijf best practices

ISO 27001 vereist (in maatregel A.8.10) dat organisaties maatregelen nemen om te controleren en vast te leggen hoe informatie wordt verwijderd.

Uit de ervaringen met ISO 27001 zijn best practices af te leiden die relevant zijn voor alle organisaties die privacy en security serieus nemen:

- Maak beleid en procedures over de verwijdering van informatie.
   Denk aan thema's zoals: wanneer data moeten worden gewist; welke technieken worden gebruikt om (digitale en
   print) informatie te verwijderen; wie er verantwoordelijk is voor dataverwijdering; en hoe de werkwijzen worden
   gedocumenteerd en gecontroleerd.

- Gebruik betrouwbare technieken om informatie te wissen.
   Kies bij de overschrijving van informatie voor gecertificeerde software. Hanteer strikte procedures om data te
   wissen van apparaten zoals harde schijven. Selecteer een gecertificeerde dienstverlener om papieren documenten
   en ongebruikte hardware te laten vernietigen.

- Let op verouderde hardware. 
   Opslagmedia, zoals harde schijven, USB-sticks en tapes, moeten op een veilige manier worden vernietigd wanneer
   ze niet langer in gebruik zijn. Shredding is bijvoorbeeld een optie voor de volledige vernietiging van een harde
   schijf.

- Controleer de verwijdering van informatie. 
   Het is belangrijk dat de werkprocessen voor de verwijdering en vernietiging van informatie worden gedocumenteerd
   en gecontroleerd. Dat is mogelijk door bijvoorbeeld logging van dataverwijdering, periodieke audits van de
   vastgestelde procedures, en controles op de juistheid en volledigheid waarmee informatie wordt gewist.

- Zorg voor awareness van medewerkers.
   Medewerkers spelen een sleutelrol in de juiste omgang met dataverwijdering. Breng medewerkers daarom op de
   hoogte van waarom informatie moet worden gewist en wat zij daaraan kunnen doen. Praktische adviezen zijn
   bijvoorbeeld om regelmatig de e-mailbox op te schonen, periodiek de digitale prullenbak te legen, en altijd
   papieren documenten te versnipperen.

Mike Tiernagan 
Adviseur 

Meer weten over de verantwoorde en veilige omgang met (persoons)gegevens, van de opslag tot en met de verwijdering?
De experts van L2P vertellen je er graag over.
Bel 026 - 848 3118 Stuur een bericht