Norm DM.06 Verwijdering van data
Waarom is dit nodig?
Met goede procedures voor het verwijderen van data of hardware verklein je de kans dat er data in de verkeerde handen komt. Op deze manier bescherm je jouw medewerkers en leerlingen. Ook voldoe je hierdoor als school aan de gestelde wet- en regelgeving.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Data wordt ad hoc verwijderd.
- Er zijn geen formeel vastgelegde procedures voor opschoning en verwijdering van data.
2 Herhaalbaar
- Er zijn informele procedures ingevoerd zodat apparatuur en media die gevoelige data bevatten worden verwijderd via een centraal punt in de organisatie.
- De verantwoordelijkheden voor dataverwijdering zijn gedeeltelijk gedefinieerd.
3 Bepaald (streefniveau)
- Er zijn procedures formeel vastgelegd en ingevoerd voor het verwijderen of overdragen van data en hardware om erop toe te zien dat wordt voldaan aan organisatiedoelstellingen en wet- en regelgeving voor het beschermen van (gevoelige) data en software.
- Apparatuur en media met gevoelige informatie worden zoveel mogelijk opgeschoond voor gebruik of verwijdering.
- De verantwoordelijkheden voor verwijderingsprocedures zijn duidelijk gedefinieerd.
4 Beheerst
Aanvullend op niveau 3:
- Niet-opgeschoonde apparatuur en media worden gedurende het verwijderingsproces op een beveiligde manier getransporteerd.
- Verwijderde apparatuur en media met gevoelige informatie zijn gedocumenteerd zodat ze te traceren zijn.
- De implementatie en uitvoering van relevante procedures voor dataverwijdering worden periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Er is een procedure voor de verwijdering van actieve media van de media-inventaris bij verwijdering van het medium.
- Er is een procedure voor het onderhoud van de inventaris zodat recente verwijderingen meegenomen worden in het logbestand.
- Dataverwijdering is een integraal onderdeel van de informatiemanagement en datalifecyclemanagement.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Zorg ervoor dat een gecertificeerde dienstverlener data verwijdert voor apparatuur en media worden afgevoerd.
- Wordt apparatuur doorgegeven? Zorg dan dat it alle data van de vorige gebruiker zorgvuldig verwijdert.
- Let specifiek op de verwijdering van beeldmateriaal bij apparatuur en media van school die door leerlingen worden gebruikt. Wijs hier expliciet op bij inlevering van een device.
Gerelateerde wetten en normen
Norm DM.06 Verwijdering van data is gerelateerd aan ISO-standaard 27001/2:2022, het certificeringsschema IBP ROSA en aan privacynormen.
ISO 27001/2:2022
- A7.10
- A7.14
- A8.10
Certificeringsschema IBP ROSA
- Vertrouwelijkheid/Levenscyclus gegevens