GDPR compliant blijven bij het wissen van data uit bedrijfsomgevingen

vrijdag 14 februari 2020 door Jaap-Jan Visser

Door de AVG/GDPR-wetgeving worden organisaties gedwongen om goed te kijken naar hun verwijderingsbeleid. De GDPR-wet is meer dan alleen 'het recht om vergeten te worden'. Het is ook van toepassing op het voorkomen van datalekken bij ondernemingen die zakendoen binnen de Europese Unie. Er lijkt echter nog steeds veel verwarring te bestaan over de juiste dataverwijderingsprotocollen, waardoor organisaties kwetsbaar zijn voor datalekken. In deze blog onderzoeken we hoe je ervoor kunt zorgen dat jouw organisatie blijft voldoen aan de wet- en regelgeving.

Artikel 32

In Artikel 32 van de GDPR-wet staat dat bedrijven: "een procedure moeten hebben voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging bij de verwerking van data." Het implementeren van de juiste procedure is niet alleen verplicht voor dataverwerking, maar ook voor het selectie- en inkoopproces van gebruikte IT-oplossingen (zowel software als hardware).

Wat moet er gebeuren?

Iedere vertegenwoordiger van een bedrijf moet alle nodige maatregelen nemen om ervoor te zorgen dat er geen persoonlijke data buiten het bedrijf kunnen lekken. Enkele van de stappen die volgens de GDPR  moeten worden ondernomen zijn:

  • Pseudonimiseren en het versleutelen van persoonlijke gegevens;
  • De mogelijkheid om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en services met betrekking tot de verwerking permanent te waarborgen;
  • De mogelijkheid om de beschikbaarheid van en toegang tot persoonlijke gegevens snel te herstellen in geval van een fysiek of technisch incident;
  • Een proces voor het periodiek evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid te waarborgen.

Een ander kritisch punt dat werd geïmplementeerd door artikel 32 was:

“Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.”

Kortom, artikel 32 vereist dat organisaties rekening houden met alle risico's bij het gebruik van technologie die persoonlijke data bevat. Voordat een organisatie opslagmedia gebruikt om gevoelige data te bewaren, moet een verantwoordelijke medewerker een beoordeling uitvoeren om eventuele risico's voor de (data)rechten van personen vast te stellen.

Veilig wissen is nog steeds een uitdaging

Sommige bedrijven vergeten nog steeds om bestaande bestanden van desktopcomputers, laptops, externe schijven en services te wissen. Dit komt vaak omdat ze een verkeerd idee hebben van het begrip wissen en/of niet de juiste tools gebruiken waarmee ze gegevens in hun actieve IT-omgevingen kunnen wissen. De gevoelige gegevens van veel organisaties worden hierdoor vaak in een kwetsbare positie achtergelaten.

Voor veel organisaties heeft het veilig wissen van data nog steeds niet prioriteit, terwijl ze volgens de GDPR wel moeten beschikken over een correct en veilig datavernietigingsbeleid.

Desalniettemin missen veel IT-afdelingen kennis over het verschil tussen 'verwijderen' en 'wissen'. In een studie uitgevoerd door Blancco - 'Delete vs Erase': How to wipe files in Active Environments bleek dat meer dan de helft (51%) van de 400 respondenten dacht dat hun prullenbak legen voldoende was om gegevens van hun computers / laptop permanent te wissen. Even verontrustend was dat 51% van mening was dat een snelle format of volledige herformattering van de computerschijf voldoende was om hun data voorgoed te vernietigen.

Zonder de juiste expertise en kennis met betrekking tot het wissen van gegevens, stellen organisaties hun gevoelige gegevens bloot aan potentiële datalekken. Om het databeheer en de databescherming van jouw organisatie te helpen verbeteren, hebben we onderstaande tips samengesteld:

  1. Automatiseer actief veilig wissen: Elke gebruiker zou het veilig wissen van bestanden moeten automatiseren. Door dit proces te automatiseren, neemt jouw organisatie de nodige stappen voor het permanent en veilig verwijderen van data en bestanden. Hierdoor worden de risico's met betrekking tot het veilig wissen van data op laptops of desktops van gebruikers beperkt.
  2. Vernietig regelmatig vrije schijfruimte: Elke laptop en computer die eigendom is van jouw organisatie moet regelmatig vrije schijfruimte vernietigen wanneer er servicevensters of patches zijn gepland. Hierdoor wis je applicatiegegevens (en andere gegevens) die onjuist of onvolledig zijn verwijderd.
  3. Wis automatisch tijdelijke bestanden: Door het wisproces te automatiseren, zorg je ervoor dat het wissen regelmatig wordt uitgevoerd en de veiligheid nog meer wordt gegarandeerd. Op deze manier kun jij je richten op gebruikersdata die mogelijk in het systeem zijn opgeslagen.
  4. Verwijder lokaal gemaakte en opgeslagen gebruikersbestanden: Het consequent verwijderen van lokaal geproduceerde gebruikersbestanden en het aanmoedigen van jouw werknemers om hun gegevens in een centrale opslagplaats te archiveren kan een mogelijke datalek voorkomen.
  5. Autoriseer ‘hoofdgebruikers’ om actief te wissen: Daarnaast is het verstandig om een groep ‘hoofdgebruikers’ binnen de organisatie aan te wijzen die geautoriseerd is om actief bestanden uit het systeem te verwijderen. Ze kunnen een belangrijke rol spelen bij de beveiliging van jouw bedrijf, vooral als personen gevoelige gegevens op de verkeerde locatie opslaan. De ‘hoofdgebruikers’ moeten zich richten op onjuist opgeslagen gegevens en deze onmiddellijk permanent verwijderen.
  6. Ontvang een certificaat dat het wissen van bestanden verifieert om naleving van de regelgeving te waarborgen: Als je ervoor zorgt dat je een certificaat en audit-trail hebt, die aantoont dat gegevens veilig en permanent worden gewist, betekent dit dat jouw organisatie kan aantonen dat zij zich houdt aan de wettelijke vereisten. Erasure Verification Services kan jouw organisatie helpen om de strategie voor het wissen van gegevens te verifiëren.

Neem voor meer informatie over het veilig wissen van gegevens contact op met onze specialisten.