Wat is digitaal vernietigen?

Handreiking Digitaal vernietigen

Vernietigen van informatie is het blijvend ontoegankelijk maken van die informatie, waardoor deze niet meer vindbaar, beschikbaar, leesbaar, interpreteerbaar en betrouwbaar is. Digitaal vernietigen betreft digitale overheidsinformatie, ongeacht de vorm en met behoud van metagegevens over de vernietiging. 

Digitale overheidsinformatie is er in vele vormen zoals tekstdocumenten, presentaties, spreadsheets, video’s, foto’s, (chat) berichten, e-mails, gegevenssets in databases, etc.  Deze vormen van overheidsinformatie, die samengesteld zijn uit een verzameling aan elkaar gerelateerde data of gegevens die als eenheid wordt behandeld, noemen we informatieobjecten.

Let op: 

  • De Archiefwet gaat over vernietigen van informatieobjecten. 
  • De AVG gaat over het vernietigen van (persoons)gegevens die onderdeel zijn van informatieobjecten.

Bij digitaal vernietigen is soms sprake van het risico dat de vernietigde informatieobjecten toch nog toegankelijk kunnen zijn. In welke mate dit acceptabel is voor een overheidsorganisatie, hangt af van het doel waarmee de informatieobjecten vernietigd zijn. Bijvoorbeeld of het om privacyreglementen of het beperken van ballast gaat. Elk doel vraagt om een andere vorm van vernietiging. Van drastische maatregelen (waarbij ook back-ups en informatiedragers worden vernietigd) tot een lichtere vorm van vernietiging. Met een risicoanalyse bepaal je wat passende maatregelen zijn.

Op basis van de uitkomst van een risicoanalyse kan vervolgens worden gekozen voor verschillende gradaties van vernietigen. 

Gradaties van digitaal vernietigen
Gradaties Uitleg
Administratief vernietigen Geschikt voor informatieobjecten waar vernietiging weinig tot geen risico’s met zich meebrengt. Hierbij verwijder je de verwijzingen naar het te vernietigen informatieobject (uit de indexen) en wordt de ruimte die het informatieobject op de drager inneemt vrijgegeven voor hergebruik.
Eenmalig overschrijven Indien er sprake is van een risico dat te overzien is, kan worden gekozen voor het eenmalig overschrijven van de informatieobjecten op de drager waarop deze zijn opgeslagen. 
Meervoudig overschrijven Indien er sprake is van grotere risico’s (bijvoorbeeld in het kader van de AVG of de BIO) kan worden gekozen voor het meervoudig overschrijven van informatieobjecten op de drager waarop deze zijn opgeslagen.
Fysiek vernietigen In sommige gevallen (bij een zeer hoog risico, zoals vertrouwelijke en staatsgeheime informatieobjecten) kan worden gekozen om de drager van de informatieobjecten fysiek te vernietigen.

Zie ook vernietigen in de BIO, NEN-ISO 15489 en Moreq 2010.

Let op:

  • Verwijderen, wissen of deleten valt alleen binnen de werkdefinitie van vernietigen wanneer de informatie overal onherroepelijk wordt vernietigd. Het is daarom belangrijk ook eventuele kopieën op back-ups en in informatiesystemen te vernietigen, zodat de informatie niet kan worden hersteld.

Alternatieven voor digitaal vernietigen

Voor digitale vernietiging bestaan alternatieve methodes.  Deze alternatieven maken informatie niet blijvend ontoegankelijk.
 

Vernietigingsperspectief Mogelijke nadelen en risico’s
Voldoen aan wet- en regelgeving  Geen
Beheersbaarheid van informatie Geen
Kostenbesparingen
  • Omdat informatie overal wordt verwijderd, waaronder op back-ups, kan deze vorm technisch complex en daarmee relatief duur zijn. 
  • Fysiek vernietigen van de dragers van informatieobjecten belast het milieu, omdat de vernietigde hardware niet meer hergebruikt kan worden.

Verbreken van koppelingen

Door de verwijzingen naar informatieobjecten te verwijderen, verliezen deze hun toegankelijkheid, context en informatiewaarde. De losse informatieobjecten zelf blijven bestaan, maar zijn voor geen enkele toepassing meer vindbaar en beschikbaar. 

Let op:

  • Realiseer je dat het vernietigen van alle verwijzingen naar een informatieobject consequenties kan hebben voor de toegankelijkheid van dat informatieobject vanuit een andere context (dossier).
  • Het kan zijn dat een ander dossier waarin hetzelfde informatieobject voorkomt, nog wel moet worden bewaard. Door bij het informatieobject alleen de link met het te vernietigen dossier te vernietigen, kan het langer te bewaren dossier intact blijven. 

Vernietigingsperspectief

Mogelijke nadelen en risico’s

Voldoen aan wet- en regelgeving
  • Omdat de informatieobjecten zelf niet – maar alleen de verwijzingen er naartoe – vernietigd worden, is er nog steeds een risico op een datalek.
  • Door het verbreken van de koppeling maak je de informatieobjecten niet direct blijvend ontoegankelijk. De koppeling kan, theoretisch en technisch gezien, namelijk weer worden hersteld.

Beheersbaarheid van informatie
  • Geen besparing op kosten voor licenties en onderhoud, omdat de opslagcapaciteit niet afneemt in het systeem waarin de informatie is opgeslagen.
  • (Toekomstige) migratietrajecten zijn niet minder complex en niet minder kostbaar, en back-ups niet sneller; er is geen vermindering van ballast, omdat verbreken van koppelingen niet leidt tot kleinere volumes. 

Kostenbesparing en milieu
  • Omdat de informatieobjecten zelf niet vernietigd worden, is er sprake van een toename aan kosten voor benodigde opslag en een grotere milieubelasting.

Beëindigen van het beheer

Dit betekent het bewust niet  meer actief beheren van informatie in een of meer systemen die deel uitmaken van het applicatielandschap. Bijvoorbeeld omdat de risico’s laag en de kosten voor vernietigen hoog zijn. Het gaat hierbij niet om het applicatie- of technisch/systeembeheer, maar om informatiebeheer. Dit leidt ertoe dat de duurzame toegankelijkheid niet gegarandeerd kan worden en dat de informatie door de tijd heen steeds minder toegankelijk wordt. 

Vernietigingsperspectief

Mogelijke nadelen en risico’s

Voldoen aan wet- en regelgeving
  • De bescherming van persoonsgegevens (die onderdeel zijn van de informatieobjecten) kan niet worden gegarandeerd wanneer deze niet meer worden beheerd.

Beheersbaarheid van informatie
  • Het wel behouden, maar niet meer beheren van de informatie zorgt niet voor meer grip en een grotere beheersbaarheid van de informatiehuishouding:
  • er is nog steeds sprake van ballast,
  • niet (goed) beheerde informatie kan ertoe leiden dat de informatie verkeerd wordt geïnterpreteerd en gebruikt, en
  • de kwaliteit van de informatiehuishouding gaat erop achteruit.

Kostenbesparing en milieu
  • Het beëindigen van het beheer draagt bij aan een overload aan informatie, veroorzaakt grotere vraag naar servercapaciteit (en bijbehorende (onderhouds)kosten) en zorgt voor meer belasting van het milieu.

Pseudonimiseren of anonimiseren

In het geval van privacybelang wordt maskeren in de vorm van pseudonimiseren of anonimiseren toegepast bij de beschikbaarstelling van informatieobjecten. Bij pseudonimiseren worden persoonsgegevens gemaskeerd door codering. Alleen als je de juiste sleutel hebt, kun je de gemaskeerde persoonsgegevens achterhalen. Bij anonimiseren worden persoonsgegevens op zodanige wijze gemaskeerd dat ze op geen enkele manier te reconstrueren en met een persoon in verband te brengen zijn. Zie ook: de handreiking Weten of vergeten.

Let op:

  • Bij het maskeren van persoonsgegevens in een informatieobject ontstaat een nieuw informatieobject dat ook beheerd moet worden. 

Vernietigingsperspectief

Mogelijke nadelen en risico’s

Voldoen aan wet- en regelgeving
  • De Archiefwet is ingericht op het dossier of documenten als object van vernietiging. Bij pseudonimiseren of anonimiseren wordt een dossier of document niet integraal vernietigd.
  • Pseudonimiseren is niet onomkeerbaar. Het voorkomen van een datalek is dan niet 100% waterdicht. 
  • Geen besparing op kosten voor licenties en onderhoud, omdat de opslagcapaciteit niet toeneemt in het systeem waarin de gemaskeerde informatieobjecten worden opgeslagen.
  • (Toekomstige) migratietrajecten zijn niet minder complex en niet minder kostbaar, en back-ups niet sneller; er is geen vermindering van ballast, omdat de gemaskeerde informatieobjecten leiden tot grotere volumes. 

Beheersbaarheid van informatie 
  •  Omdat bij het maskeren van persoonsgegevens in een informatieobject een nieuw informatieobject (archiefbescheid) ontstaat dat ook beheerd moet worden, neemt de beheersbaarheid af.

Kostenbesparing en milieu
  • Omdat er sprake is van nieuwe informatie objecten (met daarin de gemaskeerde gegevens) is er geen sprake van verminderde benodigde opslag en milieubelasting.