Vertrouwelijk vernietigen met CA+
Het risico op dataverlies is altijd aanwezig, des te meer op het moment dat u papier- of hardware laat vernietigen. Het keurmerk CA+ is de certificering voor vertrouwde archief-, data- en productvernietiging. CA+ geeft u zekerheden over de manier waarop vernietigingsbedrijven met vertrouwelijke materiaal omspringen.
Tot op heden gaat de meeste aandacht binnen organisaties uit naar het zorgvuldig beheren van privacy- dan wel bedrijfsgevoelige gegevens. Als de eindfase van apparaat gebruik aanbreekt, mag u echter niet vergeten om vertrouwelijke informatie AVG-vriendelijk te laten vernietigen. Laptops, smartphones, printers en andere zogenaamde datadragers bevatten veelal vertrouwelijke informatie. Door vertrouwelijke materiaal bij een CA+ gecertificeerd bedrijf te laten vernietigen voorkomt u dat gevoelige informatie op straat komt te liggen.
Bewustwordingsmoment
Het CA+ keurmerk is ontwikkeld en geïmplementeerd door de Federatie Nederlandse Oudpapier Industrie (FNOI. Dit keurmerk waarborgt een adequaat, efficiënt en gesloten vernietigingsproces van vertrouwelijk materiaal. De invoering van de Algemene Verordening Persoonsgegevens (AVG) in 2018 creëerde een extra bewustwordingsmoment in Nederland. Het belang om afgeschreven papieren archieven en hardware te laten vernietigen werd actueel. Zo schrijft de AVG voor dat persoonsgegevens na het verlopen van de wettelijk bepaalde bewaartermijn ook verantwoord vernietigd moeten worden. Gevoelige informatie mag niet open toegankelijk in een container op straat gezet worden. Zulke informatie behoort in een gecontroleerde omgeving te worden vernietigd. Elke organisatie beschikt over persoonsgegevens.
Het gaat dan om de gegevensverwerking van natuurlijke personen, zoals klanten of personeel. Deze vertrouwelijke gegevens zijn voornamelijk opgeslagen op datadragers en die wilt u niet op straat laten belanden. Sterker, sinds 2018 is een dergelijk lek van persoonsgegevens zelfs strafbaar en riskeert uw organisatie naast de nodige reputatieschade ook een forse boete. Uw organisatie blijft tenslotte juridisch aansprakelijk voor de door haar verzamelde gegevens. Wees dus ook zorgvuldig met de vernietiging is het advies. De AVG verplicht u dus om een verantwoordelijk staartje te geven aan afgeschreven apparaten.
Wat houdt CA+ in
CA+ houdt in dat gecertificeerde bedrijven de vertrouwelijke vernietigingsbehoefte van organisaties faciliteren. Ook moeten vernietigingsbederijven organisaties kunnen adviseren, bijvoorbeeld op het gebied van voldoen aan de wettelijke vereisten voor datavernietiging. Vernietigingsspecialisten met een CA+ certificaat garanderen een veilige vernietiging. Het inzamelen, transporteren en vernietigen gebeurt op een betrouwbare manier. Allereerst worden afsluitbare containers met een dichte ombouw ingezet. De vrachtwagens waarin de containers worden vervoerd zijn ook afsluitbaar. Tot slot heeft het vernietigingsbedrijf een volledig afgesloten verwerkingsruimte. Die is niet toegankelijk voor onbevoegden en voorzien van camerabewaking plus alarminstallatie. Alle medewerkers zijn vooraf gescreend en beschikken over een geldige Verklaring Omtrent Gedrag (VOG). Ook hebben zij een geheimhoudingsverklaring ondertekend. Om de kwaliteit van het vernietigingsproces te behouden, ondergaan aangesloten CA+ keurmerkhouders een strenge jaarlijkse controle. Deze wordt uitgevoerd door de onafhankelijke instantie Kiwa. Bedrijven moeten aantonen dat ze vertrouwelijk materiaal geborgd vernietigen. Zonder geslaagde controle, geen keurmerk meer. De certificeringsregeling CA+ sluit aan op erkende normeringen in andere Europese landen voor archiefvernietiging, zoals de Duitse DIN Norm 66399.
Naast het geborgd vernietigen van vertrouwelijk materiaal wil CA+ ook een duurzame bijdrage leveren door vernietigde materialen terug te brengen in de keten, oftewel het hergebruik vanwaardevolle grondstoffen te stimuleren.
Advies voor vernietiging
De FNOI krijgt vaak de vraag vanuit de markt binnen welke veiligheidsklasse (privacy)gevoelige informatie moet worden vernietigd. In lijn met de eisen die de Autoriteit Persoonsgevens stelt en met oog voor duurzaamheid adviseert CA+ vernietigingsklasse P2 vermengd en geperst of P3 voor het vernietigen van privacygevoelige informatie. Dit is ook conform DIN Norm 66399 (de Duitse richtlijn voor de vernietiging van datadragers of archieven). Door die richtlijnen te volgen, kunt u erop vertrouwen dat vernietigd materiaal niet meer te herleiden is tot bruikbare informatie, maar nog wel geschikt is voor recycling.
Wens van de klant blijft leidend
Kleiner versnipperen dan vernietigingsklasse P3 maakt hergebruik lastiger. Op uw verzoek kan het vernietigingsbedrijf het restmateriaal beschikbaar stellen voor recycling. Zo kunnen de hoogwaardige grondstoffen uit printers, smartphones of harde schijven worden hergebruikt, zonder dat er ook maar iets te herleiden is naar vertrouwelijke gegevens. Uiteindelijk is echter de wens van uw organisatie leidend wat betreft recycling en de vernietigingsklasse. U kunt dus besluiten om het zekere voor het onzekere te nemen en tot miniscule snippers te laten reduceren of niet.
Dit artikel is verschenen in Office Rendement 6-2019 en is geschreven door Roderick Ferrari, branche organisatie manager bij de FNOI, rferrari@fnoi.nl, fnoi.nl en ca-plus.nl, Twitter: @FNOInl en @CAplusNL