AVG en archief- en datavernietiging

De Algemene verordening gegevensbescherming (AVG) is van kracht sinds 25 mei 2018. Lees op deze pagina wat dit voor organisaties betekent op het gebied van archief- en datavernietiging of download het pdf-bestand

1. Inleiding

2. Wat zijn persoonsgegevens?

2.1 Bijzondere persoonsgegevens

2.2 Bedrijfsgegevens

3. Wanneer mogen persoonsgegevens verzameld en verwerkt worden?

4. Wat is de verantwoordingsplicht voor organisaties?

5. Wat betekent de AVG op het gebied van archief- en datavernietiging?

5.1 Certificeringsregels in de archief- en datavernietigingsbranche

5.1.1 Soorten afgesloten containers

5.1.2 Afgesloten wagens

5.1.3 Beveiligde vernietigingslocatie

5.1.4 Garantiecertificaat van vernietiging

5.1.5 Verwerkersovereenkomst

6. Wat houdt de DIN 66399 in?

6.1 Juiste vernietigingsklasse kiezen

6.1.1 Beschermingsklasse

6.1.2. Veiligheidsniveau

6.1.3. Materiaal classificatie (PFOTHE)

7. Wat is de meldplicht datalekken?

7.1 Registratie datalekken

7.2 Ga voor zekerheid, behandel al het papierafval vertrouwelijk

8. Checklist

9. AVG binnen uw organisatie

 

1. Inleiding

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden om dit grondrecht te beschermen, zoals beschreven in artikel 1 lid 2 van de verordening:

Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

De nieuwe privacywetgeving geldt voor de hele Europese Unie en draagt de internationale naam General Data Protection Regulation (GDPR). De Nederlandse Wet bescherming persoonsgegevens (Wbp) wordt door deze nieuwe privacywetgeving vervangen.

De AVG regelt dat de positie van mensen waarvan gegevens worden verwerkt sterker wordt, door nieuwe privacyrechten te introduceren en bestaande rechten te versterken. Organisaties die persoonsgegevens verwerken krijgen zodoende meer verplichtingen en zijn ervoor verantwoordelijk om te kunnen aantonen dat ze aan de wet voldoen. In deze handleiding wordt uiteengezet wat de AVG betekent op het gebied van archief- en datavernietiging.

2. Wat zijn persoonsgegevens?

Een persoonsgegeven is informatie die direct over iemand gaat, of naar deze persoon te herleiden is. De definitie in artikel 4 lid 1 van de AVG luidt:

„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Persoonsgegevens zijn vaak op papier terug te vinden. Hierbij kan je op kantoor denken aan geprinte e-mails met naam en e-mailadres, kopie's van ID-bewijzen, bestellingen met klantinformatie, financiële gegevens, interne communicatie over klanten en personeelsdossiers van medewerkers. Uiteraard kan deze informatie net zo goed op digitale datadragers staan.

2.1 Bijzondere persoonsgegevens

Er zijn bepaalde bijzondere categorieën van persoonsgegevens waarvan men bij misbruik direct nadeel kan ondervinden. Het verwerken van deze persoonsgegevens is verboden, mits iemand uitdrukkelijk toestemming heeft gegeven voor de verwerking, of de verwerking noodzakelijk is voor bepaalde doeleinden. Artikel 9 lid 1 van de AVG geeft weer wat bijzondere persoonsgegevens zijn:

Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

Noodzakelijke verwerking voor bijzondere persoonsgegevens geldt bijvoorbeeld bij vitale belangen, zwaarwegend algemeen belang of archivering in algemeen belang. Alle voorwaarden voor noodzakelijke verwerking staan beschreven in artikel 9 lid 2 van de AVG.

2.2 Bedrijfsgegevens

De AVG heeft betrekking op gegevens van natuurlijke personen en geldt zodoende niet voor de verwerking van gegevens over rechtspersonen, denk hierbij aan bedrijfsgegevens zoals de naam, rechtsvorm en contactgegevens van gevestigde ondernemingen.

3. Wanneer mogen persoonsgegevens verzameld en verwerkt worden?

Er zijn strikte regels over in welke situaties persoonsgegevens verzameld en verwerkt mogen worden. Allereerst als er toestemming is gegeven door de betrokkene, maar ook als er een overeenkomst is afgesloten, er een wettelijke verplichting geldt, er vitale belangen zijn, er een algemeen belang is of er een gerechtvaardigd belang is. Deze rechtmatigheid van de verwerking wordt in artikel 6 van de AVG toegelicht.

4. Wat is de verantwoordingsplicht voor organisaties?

Een organisatie die persoonsgegevens verwerkt is de zogenoemde verwerkingsverantwoordelijke en heeft een verantwoordingsplicht zoals benoemd in artikel 5 van de AVG. Dit betekent dat organisaties moeten kunnen aantonen dat ze aan de regels van de AVG voldoen bij het verwerken en beschermen van persoonsgegevens.

Zo moet het verwerken van persoonsgegevens door organisaties rechtmatig en transparant gebeuren. Dit betekent onder andere dat er duidelijke doelstellingen geformuleerd moeten worden. De persoonsgegevens mogen enkel voor deze doelstellingen worden gebruikt (minimale gegevensverwerking), moeten juist zijn en zo nodig worden geactualiseerd. Daarnaast moet een passende beveiliging worden gewaarborgd voor de informatie ter bescherming van ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

5. Wat betekent de AVG op het gebied van archief- en datavernietiging?

Organisaties zijn als verwerkingsverantwoordelijke verplicht om persoonsgegevens te beschermen en dus zorg te dragen voor de juiste verwerking. Wanneer deze informatie, voor de geformuleerde doelstellingen of verplichte bewaartermijn, niet meer nodig is, dient de informatie discreet te worden vernietigd.

Wanneer de persoonsgegevens worden verwerkt door gebruik te maken van fysieke documenten of digitale datadragers is het uitermate belangrijk om een gecertificeerd archiefvernietigingsbedrijf in te schakelen, zodat de informatie veilig wordt vernietigd en aan de verantwoordingsplicht van de AVG kan worden voldaan.

De bescherming van persoonsgegevens betekent ook dat informatie die juist wel bewaard moeten blijven, wordt beschermd tegen onterechte vernietiging (artikel 5 lid 1f). Wanneer het om informatie gaat met bijvoorbeeld wettelijk bepaalde bewaartermijnen, dan is het beveiligd opslaan van het materiaal bij een gecertificeerde externe archiefbeheerder zeker een overweging waard.

5.1 Certificeringsregels in de archief- en datavernietigingsbranche

In de archief- en datavernietigingsbranche zijn wij van oudsher gewend om de aan ons toevertrouwde informatie door onze klanten, onafhankelijk van de aard van de informatie, altijd strikt vertrouwelijk te behandelen. Zo hebben de internationale branchevereniging NAID en de nationale branchevereniging FNOI de strenge certificeringsregelingen NAID AAA en CA+ opgesteld, waarin de omgang met vertrouwelijke gegevens is vastgelegd. Denk hierbij aan een betrouwbare manier van inzameling van papiermateriaal en digitale datadragers door middel van afgesloten containers, het legen van de containers door afgesloten wagens, een beveiligde vernietigingslocatie met gescreende medewerkers, vernietiging binnen 24 uur op basis van de DIN 66399 en na vernietiging de uitreiking van een garantiecertificaat van vernietiging. Dit garantiecertificaat is een middel voor organisaties om aan hun verantwoordingsplicht te kunnen voldoen.

5.1.1 Soorten afgesloten containers

Er zijn verschillende soorten containers beschikbaar om papiermateriaal of digitale datadragers in te verzamelen. Bijvoorbeeld de klassieke kunststof container of de esthetische aluminium container, beide zijn in verschillende maten verkrijgbaar. Belangrijk is dat de container altijd voorzien is van een slot, zodat onbevoegden niet bij het materiaal in de container kunnen komen.

Er kan een keuze worden gemaakt uit een cilinderslot met sleutel of een elektronisch slot met tag of pincode. Bij gebruik van een elektronisch slot zijn de handelingen die met de container worden verricht geheel te traceren. Zoals wanneer de klep wordt geopend en wanneer de container wordt geleegd. Tevens kan een container met elektronisch slot worden voorzien van een alarm, wat onbevoegden afschrikt bij onrechtmatige pogingen om de container te openen.

5.1.2 Afgesloten wagens

Gecertificeerde archief- en datavernietigingsbedrijven maken gebruik van afgesloten wagens om de containers te legen of op te halen. Dit kunnen gecertificeerde wagens zijn met een rolluik aan de achterzijde, welke na het legen van de containers wordt gesloten. Of wagens die de containers binnenin de wagen legen, geheel afgesloten van de buitenlucht. Een wagen met materiaal wordt door de chauffeur nooit onbeheerd achtergelaten en de route van de wagen is middels een track & trace systeem door bevoegden direct te volgen en achteraf na te gaan.

5.1.3 Beveiligde vernietigingslocatie

Jaarlijks vinden er door de brancheverenigingen NAID en FNOI zowel aangekondigde als onaangekondigde audits plaats bij de gecertificeerde archief- en datavernietigingsbedrijven. Tijdens de audit wordt het gehele proces, van inzameling tot aan de vernietiging van vertrouwelijk materiaal, gecontroleerd. Belangrijke onderdelen zijn de beveiliging van de vernietigingslocatie, de vernietiging die binnen 24 uur na binnenkomst van het materiaal moet zijn voltooid en dat enkel gescreende medewerkers met een vastgelegde geheimhoudingsplicht bij de vernietiging aanwezig mogen zijn. De verwerkingsverantwoordelijke voor de persoonsgegevens kan, indien gewenst, toezicht houden bij de vernietiging van het eigen materiaal.

5.1.4 Garantiecertificaat van vernietiging

In zowel de NAID AAA certificeringsregeling als de CA+ certificeringsregeling van de FNOI, is geregeld dat men na vernietiging van het materiaal een garantiecertificaat van vernietiging ontvangt. Dit wordt vaak digitaal aangeboden. Bijvoorbeeld in de vorm van een beveiligde persoonlijke digitale omgeving waar de organisatie kan inloggen om de eigen certificaten in te zien en eventueel te downloaden.

5.1.5 Verwerkersovereenkomst

Wat in de Wet bescherming persoonsgegevens (Wbp) nog niet geregeld was maar een heel belangrijk onderdeel is van de AVG, is de verantwoordingsplicht zoals in hoofdstuk 4 beschreven. Onderdeel daarvan is dat de verwerkingsverantwoordelijke een verwerkersovereenkomst af dient te sluiten met de bedrijven die persoonsgegevens verwerken voor de verwerkingsverantwoordelijke, de zogenoemde verwerkers. Hieronder valt dus ook een archief- en datavernietigingsbedrijf. In artikel 28 lid 3 van de AVG staat beschreven wat er in een verwerkersovereenkomst vastgelegd dient te worden:

De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.

Archiefvernietigingsbedrijven die zijn aangesloten bij de branchevereniging FNOI hebben een standaard verwerkingsovereenkomst vanuit de FNOI ter beschikking. Uiteraard is het aan de verwerkersverantwoordelijke om te oordelen of het standaard model voldoet of dat er op basis van de eigen situatie aanpassingen benodigd zijn. Zoals de naam al aangeeft, blijft de organisatie als verwerkersverantwoordelijke hiervoor altijd zelf verantwoordelijk.

6. Wat houdt de DIN 66399 in?

Door gebruik te maken van een gecertificeerd archief- en datavernietigingsbedrijf kunnen organisaties er zeker van zijn dat hun vertrouwelijke informatie, waaronder de persoonsgegevens van hun klanten en personeel, veilig wordt vernietigd volgens de DIN 66399. Deze norm houdt rekening met de diverse bestaande opslagmedia en omschrijft de vereisten voor de vernietiging van deze datadragers. Dit is belangrijk omdat onze vertrouwelijke informatie naast papier ook op verschillende digitale datadragers terug te vinden is en zo de bescherming van de informatie onafhankelijk van de datadrager gewaarborgd is.

6.1 Juiste vernietigingsklasse kiezen

De DIN 66399 beschrijft 3 beschermingsklassen, 7 veiligheidsniveaus en 6 materiaal classificaties. Afhankelijk van de informatie die vernietigd moet worden geeft de combinatie van de beschermingsklasse, het veiligheidsniveau en de materiaal classificatie de eisen voor vernietiging aan. De organisatie die de informatie ter vernietiging aanbiedt dient hierin de keuze te maken, gezien de organisatie weet wat voor informatie ter vernietiging wordt aangeboden en als verwerkingsverantwoordelijke verantwoordelijk is voor de vernietiging in de juiste vernietigingsklasse.

6.1.1 Beschermingsklasse

Afhankelijk van de informatie op de datadrager dient een keuze gemaakt te worden uit één van de 3 beschermingsklassen.

Beschermingsklasse 1: normale bescherming van interne gegevens.
Deze gegevens zijn vaak voor grotere groepen mensen toegankelijk. Ongeautoriseerde publicatie of verspreiding zou een beperkte negatieve impact op de organisatie hebben. Bescherming van persoonlijke gegevens moet worden gegarandeerd. Anders ontstaat er een risico voor de positie en de financiële situatie van de betrokken personen.

Beschermingsklasse 2: hoge bescherming van vertrouwelijke gegevens.
Deze gegevens zijn toegankelijk voor een beperkt aantal personen. Ongeautoriseerde publicatie of verspreiding van deze gegevens kan aanzienlijke negatieve gevolgen hebben voor de organisatie en zelfs tegen contractuele of wettelijke verplichtingen in kunnen gaan. De bescherming van persoonsgegevens moet aan strenge eisen voldoen, anders bestaat een aanzienlijk risico op een negatieve invloed op de sociale status en financiële gevolgen van de betrokken personen.

Beschermingsklasse 3: zeer hoge beveiliging voor vertrouwelijke en geheime gegevens.
Deze gegevens zijn beschikbaar voor een klein aantal personen. Ongeautoriseerde publicatie of verspreiding van deze gegevens kan ernstige gevolgen hebben voor de organisatie. Het kan inbreuk maken op de geheimhoudingsplicht en verplichtingen volgens contracten en wetten ondermijnen. Het is essentieel dat de persoonlijke gegevens optimaal beschermd worden om geen risico te lopen qua gezondheid, veiligheid en/of de persoonlijke vrijheid van de betrokken personen.

6.1.2. Veiligheidsniveau

Naast de beschermingsklasse kiest men een veiligheidsniveau behorend bij de gekozen beveiligingsklasse. De DIN 66399 hanteert 7 veiligheidsniveaus. Onderstaand een opsomming van de verschillende niveaus.

Niveau 1: Algemene documenten
Niveau 2: Interne documenten
Niveau 3: Gevoelige gegevens, vertrouwelijke gegevens en persoonsgegevens
Niveau 4: Bijzonder gevoelige gegevens, vertrouwelijke gegevens en persoonsgegevens
Niveau 5: Geheime gegevens
Niveau 6: Hoogst geheime gegevens
Niveau 7: Strikt geheime gegevens, top secret

Niveau 3 is het minimale veiligheidsniveau voor de vernietiging van persoonsgegevens en zodoende minimaal nodig om aan de AVG te voldoen. Voor bijzonder gevoelige gegevens, zoals omschreven in hoofdstuk 2.1, dient minimaal niveau 4 aangehouden te worden om aan de AVG te kunnen voldoen.

Tabel 1: Combinatie van beschermingsklasse en veiligheidsniveau

*Deze combinatie is ongeschikt voor persoonsgegevens.

6.1.3. Materiaal classificatie (PFOTHE)

De DIN 66399 beschrijft 6 materiaal classificaties waarmee in combinatie met een beveiligingsklasse en veiligheidsniveau de maximale materiaaldeeloppervlakte wordt bepaald.

P – Informatieweergave in origineel formaat, bijv. papier, films en drukwerk.
F – Informatieweergave verkleind, bijv. microfilms en folies.
O – Informatieweergave op optische datadragers, bijv. cd’s en dvd’s.
T – Informatieweergave op magnetische datadragers, bijv. tapes en ID-kaarten.
H – Informatieweergave op harde schijven met magnetische datadragers.
E – Informatieweergave op elektronische datadragers, bijv. USB sticks, chipkaarten en geheugenkaarten uit mobiele apparaten.

Wanneer er een keuze is gemaakt uit een beschermingsklasse, een veiligheidsniveau en een materiaal classificatie kan in tabel 2 worden afgelezen wat de minimaal benodigde vernietigingsklasse is.

Tabel 2. Totaaloverzicht

7. Wat is de meldplicht datalekken?

Wanneer organisaties bij het verwerken van persoonsgegevens een datalek hebben, dan gaat de meldplicht datalekken spelen. De meldplicht datalekken bestaat sinds 2016 en houdt in dat organisaties melding moeten maken van een datalek bij de Autoriteit Persoonsgegevens (AP) zodra zij het datalek hebben geconstateerd. De AP geeft de volgende definitie van een datalek:

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.

De meldplicht datalekken blijft ook in de AVG bestaan zoals beschreven in artikel 33. Een verwerker dient de verwerkingsverantwoordelijke direct te informeren zodra er kennis is genomen van een inbreuk in verband met persoonsgegevens. De verwerkingsverantwoordelijke dient dit uiterlijk 72 uur nadat hij er kennis van heeft genomen aan de AP te melden, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

7.1 Registratie datalekken

De AVG stelt strenge eisen aan de wijze waarop organisaties de datalekken die zich hebben voorgedaan moeten registreren. Ook hierbij geldt de verantwoordingsplicht en moeten organisaties op verzoek informatie over eventuele datalekken ter controle aan de AP kunnen overleggen. In bepaalde gevallen moet het datalek ook worden gemeld aan de mensen van wie de persoonsgegevens zijn gelekt. Dit is afhankelijk van de impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Om te bepalen of er sprake is geweest van een datalek dat gemeld moet worden, hebben de Europese toezichthouders guidelines gepubliceerd.

7.2 Ga voor zekerheid, behandel al het papierafval vertrouwelijk

Op kantoor wordt vaak onderscheid gemaakt tussen het verzamelen en de afvoer van vertrouwelijk en niet-vertrouwelijk papier. Dit betekent dat wanneer persoonsgegevens in de container voor niet-vertrouwelijk papier terechtkomen, bijvoorbeeld door de onwetendheid van medewerkers, en zodoende niet afgesloten worden verzameld en vernietigd er al een datalek kan ontstaan. Ook voorbeelden zoals kartonnen dozen met etiketten waarop naam en adresgegevens van een persoon staan weergegeven en folders of tijdschriften met naamsvermelding vallen onder de bescherming van persoonsgegevens. Wanneer persoonsgegevens bij een onbevoegd persoon terechtkomen, al is dit binnen de eigen organisatie, spreekt men al van een datalek. Daarnaast kan deze informatie niet meer worden beschermd zodra het onbeveiligd door een externe partij wordt afgevoerd.

Het is dan ook de vraag of na het invoeren van de AVG het apart verzamelen van vertrouwelijk en niet-vertrouwelijk papier in de praktijk nog wel kan. Al het papierafval als vertrouwelijk beschouwen, dit door een gecertificeerd archiefvernietigingsbedrijf op laten halen en deze werkwijze documenteren, is dan ook aan te raden om volledig aan de AVG te kunnen voldoen.

8. Checklist

  1. Verwerkt uw organisatie persoonsgegevens?
  2. Verwerkt uw organisatie bijzondere persoonsgegevens?
  3. Wat zijn de bewaartermijnen voor deze persoonsgegevens?
  4. Heeft u de juiste beveiligingsmaatregelen genomen voor de persoonsgegevens die moeten worden vernietigd?
  5. Worden papieren en digitale datadragers met persoonsgegevens, die u volgens de AVG niet meer onder zich mag houden, gecertificeerd vernietigd?
  6. Gebruikt u afgesloten containers voor de inzameling van het materiaal?
  7. Moeten handelingen met de containers traceerbaar zijn, zoals met het gebruik van een elektronisch slot?
  8. Worden de persoonsgegevens ter vernietiging afgevoerd met afgesloten wagens?
  9. Is de vernietigingslocatie beveiligd?
  10. Ontvangt u na vernietiging een garantiecertificaat van vernietiging?
  11. Heeft u een verwerkersovereenkomst afgesloten met uw archief- en datavernietiger?
  12. Op welke vernietigingsklasse, volgens DIN 66399, moeten uw gegevens vernietigd worden?
  13. Heeft u een protocol om bij niet-vertrouwelijk papier te voorkomen dat daar persoonsgegevens bij zitten?

9. AVG binnen uw organisatie

Heeft u hulp nodig om aan de AVG te voldoen op het gebied van archief- en datavernietiging? Neem dan contact op met De Graaf Groep via 0299-223 888 of info@degraafgroep.nl. Wij helpen u graag!