Vernietiging van IT-apparatuur: Een noodzakelijk onderdeel van AVG-naleving

Onderwerpen: Compliancy | Data Management

Door Michele Hope

Veel organisaties die persoonsgegevens van EU-burgers bewaren of verwerken, zijn druk bezig om de nalevingsdeadline van 18 mei 2018 te halen voor de Algemene Verordening Gegevensbescherming (AVG) van de EU. Ondanks deze inspanningen zijn veel organisaties er nog lang niet klaar voor. Bovendien zijn veel organisaties zich niet bewust van de noodzaak van AVG-naleving aan het einde van de levenscyclus van bedrijfsmiddelen: namelijk de vernietiging van IT-apparatuur (ITAD).

AVG-naleving aantonen met een formeel ITAD-beleid is belangrijk, maar wordt vaak over het hoofd gezien. Gelukkig kan goed advies het ontwikkelen van een ITAD-beleid vergemakkelijken.

De AVG, ITAD en voortdurend risico op een datalek

Juridisch adviseurs, zoals die bij Lexology, praten over de groter wordende rol van de Gegevensbeheerder (DC) en de Gegevensverwerker (DP) onder AVG. In geval van vernietiging van IT-apparatuur, valt het gebruik van uitbestede ITAD-leveranciers nu onder de AVG-vereisten voor gegevensverwerkers (evenals andere externe sub-verwerkers die kunnen worden ingezet).

Een aanverwant gebied dat prioriteit blijft voor de meeste CIO‘s, volgens Brooks Hoffman, hoofd Databeheer bij Iron Mountain, is het vermijden van een potentieel datalek van de persoonsgegevens van EU-burgers.

"In de ITAD-activiteiten is nog altijd aardig wat anarchie. Sommige bedrijven doen het niet allemaal op de juiste manier. Het is gemakkelijk om het een beetje af te raffelen. Als je dat doet,“ waarschuwt hij, “krijg je de rekening ervoor gepresenteerd. Het kan zelfs leiden dat een datalek.”

Het lek dichten: een duidelijk overzicht van ITAD-beveiligingen

Voor ITAD kunnen deze persoonsgegevens van EU-burgers aanwezig zijn op een of meer pc’s, laptops, servers of vaste schijven die zich aan het einde van hun levenscyclus bevinden. In dit geval is het een must dat de gegevensbeheerder een formeel ITAD-beleid heeft uitgeschreven en dat er een formeel contract bestaat tussen de gegevensbeheerder en een ITAD-leverancier of gegevensverwerker.

In deze formele beleids- en contractdocumenten dient te worden beschreven hoe persoonsgegevens worden geïdentificeerd en hoe dergelijke gegevens veilig kunnen worden verwijderd op IT-apparatuur die aan het eind van hun levenscyclus zijn en die nu op de rol staan om te worden gerecycled of hergebruikt. Ook moeten er passende rollen en controleketens zijn voor het proces van vernietiging van IT-apparatuur.

Daarnaast is het noodzakelijk dat er formeel vastgelegd wordt dat de gegevensbeheerder en de gegevensverwerker de beschikking hebben over procedures die moeten worden gevolgd voor het melden van datalekken. De plannen die de gegevensverwerker heeft voor het voorkomen van een dergelijk lek, moeten schriftelijk zijn gedocumenteerd. Hetzelfde geldt voor processen na het lek en de financiële verbintenis van de gegevensverwerker ten aanzien van het herstel.

“Als u een externe ITAD-partner wilt gebruiken, moet deze in ieder geval het volgende kunnen zeggen: ‘We zullen een melding van een datalek binnen 72 uur melden en volledige kredietbewaking instellen in de nasleep van een lek,” aldus Hoffman. “Maar je moet er ook voor zorgen dat de leverancier financieel een datalekmelding afhandelt en voldoet aan de vereisten voor het vervolg.”

Hij zegt dat het in dit geval loont om erop toe te zien dat de ITAD-leverancier kapitaalkrachtig is, een goede reputatie heeft en gecertificeerd is door een erkende externe partij. In het geval van een potentieel datalek, zegt Hoffman, moet je vooral op zoek gaan naar leveranciers met voldoende verzekeringsdekking op het gebied van fouten en omissies of cyberaansprakelijkheid.

Er zijn ook nog andere wenselijke kenmerken om in het oog te houden wanneer je ITAD-leveranciers evalueert en een ITAD-beleid definieert. Deze gids gaat op enkele van deze zaken in. Het is interessant dat een vragenlijst die is ontwikkeld door een gegevensverwerker in de Kanaaleilanden kan helpen meer beleidsgebieden te definiëren voor het beoordelen van leveranciers of het formaliseren van ITAD-beleid en contractdocumenten onder de AVG.

Waarom zou u uw ITAD-beleid formaliseren?

Het is verstandig om best practices en beleidsregels te formaliseren wat betreft het adequaat opslaan, beheren en verwijderen van gegevens van burgers. Maar het is wel zo dat door de potentieel zware sancties voor overtredingen van de AVG, het formaliseren van deze ‘best practice’ nu meer een ‘stok achter de deur’ is (om naleving af te dwingen) in plaats van een “vriendelijke aansporing”.

“De AVG is baanbrekend in de wereldwijde trend ten aanzien van gegevensprivacy. De verordening is een doorbraak omdat individuen sterke rechten krijgen om zich af te melden van het traceren en opslaan van hun gegevens door bedrijven. Hierdoor verhoogt de inzet en de boetes voor niet-naleving zijn astronomisch hoog,” aldus Hoffman. “Dit maakt het belangrijker dan ooit om een geformaliseerd, overkoepelend ITAD-beleid te hebben, vooral voor grotere bedrijven waar ieder kantoor de dingen op een eigen manier kan aanpakken. Als 75% van de organisatie ITAD op de juiste manier aanpakt, betekent dit dat 25% de fout ingaat. Dat is een probleem.”