De bewaartermijn van de informatie is afgelopen, we willen graag van de informatie af dus weggooien die handel. Misschien toch goed om nog even stil te staan bij de wijze waarop we op een zo veilig mogelijke manier van die informatie af komen. Wij hebben de informatie dan niet meer nodig, maar voor anderen kan die nog steeds erg interessante informatie bevatten.
De vraag is logischerwijs:
Wordt na afloop van de bewaartermijn de informatie conform de gestelde eisen/voorschriften vernietigd?
De gestelde vraag omvat meerdere delen van vernietiging. Allereerst zullen we eisen moeten stellen aan de vernietiging van informatie. Deze eisen vertalen we naar voorschriften waarbij we natuurlijk ook nog rekening houden met de classificatie van de informatie. Met zeer vertrouwelijke gegevens willen we natuurlijk extra voorzichtig omgaan.
Bij het vernietigen van informatie moeten we onderscheid maken in de digitale en niet digitale informatie en we zullen passende vernietigingsmethoden moeten kiezen die er voor zorgen dat ongeautoriseerden niet de beschikking kunnen krijgen over de informatie.
De niet digitale informatie, laten we het hier beperkt houden tot alles wat er op papier staat, versnipperen we met een shredder en de restanten komen in een papierbak die vervolgens op een veilige manier wordt afgevoerd. En voor de feestgangers onder ons: nee, de snippers mogen jullie niet als confetti gebruiken bij het volgende feestje. Versnipperen en vervolgens veilig afvoeren (door een daarin gespecialiseerd bedrijf) zou voldoende waarborgen moeten bieden om de informatie niet meer te kunnen gebruiken.
Het apart verzamelen van vertrouwelijke informatie in vuilnisbakken om die vervolgens in een keer op te halen kan nog steeds risico’s met zich meebrengen. Is het echt vertrouwelijk, versnipper het dan toch maar eerst. Want waar zetten we de bakken met vertrouwelijke informatie neer? Staan die aan de kant van de weg totdat de ophaaldienst komt? Of staan ze achter slot en grendel zodat toegang beperkt is? Willen we hier echt een risico lopen? Het antwoord hangt natuurlijk af van de mate van vertrouwelijkheid van de informatie.
Digitale informatie is natuurlijk een ander verhaal. Er zijn verschillende manieren om die informatie op te slaan en dus ook verschillende manieren om weer van die informatie af te komen. “Ctrl + Alt + Delete” is niet veilig genoeg. Nee, we moeten de informatie eerst verschillende malen overschrijven met 0-en en 1-en, hoe vaak we dat doen en welke methode we hiervoor gebruiken hangt natuurlijk weer af van de classificering.
Maar als we de schijven hebben overschreven, wat doen we dan met die schijven? Gooien we die gewoon bij het grofvuil of halen we die eerst nog langs een sterke magneet? Boren we er gaatjes in of gooien we ze door een shredder? Verbranden of verzuren we ze? Allemaal keuzes en veel van die keuzes kunnen we combineren. Daarin moeten we natuurlijk ook weer niet doorschieten
Hoewel er vele ingewikkelde manieren zijn om informatie definitief te vernietigen hebben we geen hogere wiskunde nodig om de kaders op papier te zetten. Hebben we het weer over “laag hangend fruit” dan hebben we er hier weer een te pakken. De uitvoering volgt dan vanzelf wel.
Een interessante afsluiter (althans dat vind ik): met informatie die ergens fysiek aanwezig is (of die nu digitaal of niet digitaal is maakt dan niet uit) kunnen we nog wel wat, daar zijn allerlei methodes voor te bedenken. Maar hoe vernietigen we nu die informatie die in de hoofden van (ex-)medewerkers zit? Kunnen we hun hersencapaciteit ook niet overschrijven of door een shredder halen? Daarom gaan de komende blogs meer in op de personele beveiliging, laten we beginnen met de gedragscodes…