Hoe kun je digitaal vernietigen?

Handreiking Digitaal vernietigen

Digitaal vernietigen van overheidsinformatie kan plaatsvinden langs de volgende stappen:

Alles uitklappen

1. Voer een risicoanalyse uit op de te vernietigen informatieobjecten

Bij het opstellen van een selectielijst is een risicoanalyse uitgevoerd om te bepalen wat wanneer vernietigd wordt (zie voor meer informatie de handreiking Belangen in Balans). Nu voer je een risicoanalyse uit om te bepalen wat een passende aanpak voor vernietiging is. Daarbij worden de kansen en risico’s bepaald voor:

  • Voldoen aan wet- en regelgeving (o.a. informatiebeveiliging, privacy).
  • De beheersbaarheid van informatie.
  • Kostenbesparing en milieu.

Op basis van de uitkomsten van de uitgevoerde risicoanalyse worden weloverwogen keuzes gemaakt bij het bepalen van:  

  • De reikwijdte van digitaal vernietigen.
  • Het object van digitaal vernietigen.
  • De wijze waarop vernietigen plaatsvindt.
  • Waar digitaal vernietigen plaatsvindt.
  • Het precieze moment van digitaal vernietigen, na het verstrijken van de bewaartermijn in de selectielijst.
  • Verantwoording en vastlegging van digitaal vernietigen.

De uitkomsten van deze risicoanalyse zijn belangrijke input om keuzes te kunnen maken bij de vervolgstappen. Op basis van deze risicoanalyse kun je besluiten om bepaalde vervolgstappen wel of juist niet uit te voeren. Ook kan een risicoanalyse uitwijzen welke personen op welke momenten betrokken moeten zijn.

Let op: 

  • Maak ook gebruik van andere risicoanalyses die bijvoorbeeld in het kader van de BIO en AVG zijn of worden uitgevoerd binnen de organisatie.

2. Bepaal de reikwijdte van vernietigen

Informatieobjecten bevinden zich in verschillende systemen binnen de organisatie, maar kunnen zich ook buiten de organisatie bevinden. Bijvoorbeeld wanneer deze extern worden gehost. De informatieobjecten bevinden zich vaak als ‘origineel bronexemplaar’ in de ‘oorspronkelijke bronsystemen’, maar ook als kopieën op back-ups of in andere informatiesystemen. Bij digitaal vernietigen is het belangrijk dat bewust een keuze wordt gemaakt: óf de informatieobjecten in het bronsysteem (of archiefsysteem) en zoveel mogelijk eventuele digitale kopieën vernietigen óf alleen het originele bronexemplaar. 

Maak bij het bepalen van de reikwijdte gebruik van het ‘overzicht in informatieobjecten, processen en informatiesystemen’ uit de Enterprise Architectuur.

Let op: 

  • Steeds meer overheidsorganisaties proberen de slag te maken naar werken met een Service Georiënteerde Architectuur. Bij het implementeren van digitaal vernietigen moet in deze aanpak rekening worden gehouden dat een informatieobject (‘het bronexemplaar’) niet per se in één, maar verspreid over meerdere informatiesystemen kan zijn opgeslagen.

3. Bepaal waar vernietigen plaatsvindt

Bepaal waar de informatieobjecten vernietigd moeten worden. Dit is afhankelijk van het informatiesysteem waarin de informatieobjecten zich bevinden. Informatieobjecten kunnen zijn opgeslagen in:

  • Het bronsysteem waarin ze gemaakt zijn en/of beheerd worden.
  • Een centraal informatiesysteem waarin ze worden opgeslagen en beheerd.

Maak bij het bepalen van waar vernietiging plaats vindt gebruik van het ‘overzicht in informatieobjecten, processen en informatiesystemen’ uit de Enterprise Architectuur.

Houd daarbij rekening dat in een service georiënteerde architectuur een informatieobject (‘het bronexemplaar’) niet per se in één, maar verspreid over meerdere informatiesystemen kan zijn opgeslagen.

4. Bepaal het object van vernietigen

Bepaal wat het object van digitaal vernietigen is, bijvoorbeeld op het niveau van:

  • Document: het informatieobject.
  • Dossier: alle informatieobjecten die horen bij een proces of zaak.
  • Hardware: de (fysieke en tastbare) drager van de informatieobjecten.

De selectielijst en de Enterprise Architectuur kunnen een startpunt zijn voor de keuze voor het object van digitaal vernietigen.

Let op: 

  • Als het object van vernietigen een dossier (of zaak) betreft, kan het gebeuren dat er daarin informatieobjecten voorkomen die ook onderdeel zijn van een andere dossier of zaak en dus niet vernietigd mogen worden.

5. Bepaal de wijze waarop vernietigen plaatsvindt

Bepaal op welke wijze je de informatieobjecten gaat vernietigen, bijvoorbeeld door: 

  • Op maat gemaakte ‘scripts’ waarmee informatieobjecten vernietigd worden. 
  • Specifieke vernietigingsfuncties die worden of zijn ingebouwd in de informatiesystemen.
  • Shredders waarmee in fysieke dragers van informatieobjecten vernietigd worden.

De wijze van vernietigen die gekozen wordt, is afhankelijk van de mogelijkheden die het informatiesysteem biedt. In sommige gevallen kan vernietiging in legacy-systemen of in systemen zonder vernietigingsfunctionaliteit worden gerealiseerd. In sommige gevallen, bij bestaande ‘moderne’ systemen of bij nieuw te ontwikkelen of aan te schaffen informatiesystemen, kunnen de principes van archiving by design, common ground of volledig geautomatiseerd vernietigen worden toegepast.

De Enterprise Architectuur (waarin ook vernietigingsfunctionaliteit per informatiesysteem in kaart is gebracht) kan een startpunt zijn om te bepalen op welke wijze vernietigd kan en zal worden. 

Let op: 

  • Outsourcing van informatiesystemen
  • Een aandachtspunt vormen informatiesystemen die extern (in de cloud) worden gehost en waarvoor ook een verwerkingsovereenkomst geldt. Overheidsorganisaties die hun eigen informatiesystemen niet beheren, moeten een overeenkomst sluiten waar digitaal vernietigen onderdeel van is met de beheerder van deze systemen.

Bekijk praktijkvoorbeelden bij de TU Delft en de Gemeente Amsterdam

6. Bepaal het precieze moment van vernietigen

Bepaal op welk precies moment je de informatieobjecten zal vernietigen, bijvoorbeeld:

  • direct na het verstrijken van de bewaartermijn in de selectielijst.
  • op vast, terugkerende momenten, na het verstrijken bewaartermijn in de selectielijst.
  • op het moment dat de applicatie waarin de informatie zich bevindt end of life is en wordt uitgefaseerd, in elk geval na het verstrijken van de bewaartermijn in de selectielijst.

7. Bepaal de wijze van waarop de verantwoording bij vernietigen wordt vastgelegd

Er moet worden bepaald hoe de verantwoording en vastlegging van de digitaal te vernietigen informatieobjecten zal plaatsvinden. Dit kan door vast te leggen:

  • Welke verwijderingshandelingen er verricht zullen worden: door wie, op welk moment en hoe die worden gedocumenteerd.
  • Welk type informatieobjecten vernietigd wordt; zijn dit gegevensets in databases, documenten of hele dossiers?
  • De aantallen te vernietigen informatieobjecten.
  • Welke metagegevens je bewust níét vernietigt, zodat je over de vernietiging verantwoording af kunt leggen en het niet lijkt alsof de informatieobjecten nooit hebben bestaan.

    Metagegevens Het is verstandig c.q. noodzakelijk om bepaalde metagegevens te behouden die bewijzen dat het informatieobject er ooit was én dat dit op juiste wijze is vernietigd. Bijvoorbeeld door de status van het informatieobject vanaf het moment van vernietiging aan te passen in ‘vernietigd’ en deze status als metadata wel te bewaren na vernietiging van het informatieobject. Dat kan in het bronsysteem, maar bijvoorbeeld ook middels een gedetailleerde verklaring van vernietiging. Daarbij spelen ook de beveiligings‐ of toegangsbeperkingen voor het informatieobject een rol.
     
  • Wat er niet wordt vastgelegd; denk bijvoorbeeld aan het geanonimiseerd opnemen van persoonsgebonden informatie uit de titel van een dossier in de (concept)vernietigingslijsten en de vernietigingsverklaringen. 

    Geanonimiseerde (concept)vernietigingslijst en vernietigingsverklaring Voor sommige informatieobjecten is het niet wenselijk dat op basis van de (concept)vernietigingslijst en vernietigingsverklaring zichtbaar is over wie of wat de informatie ging. Een alternatief hiervoor is dat je bij de te bewaren vernietigingsverklaring een geanonimiseerde of geaggregeerde versie opneemt.

Maak bij het bepalen hoe verantwoording en de vastlegging daarvan gebeurt gebruik van de RACI-tabel, het protocol voor digitaal vernietigen en het kwaliteitssysteem.

Let op: 

  • Wanneer vernietiging heeft plaatsgevonden, kan er een audit gehouden worden waarbij wordt getoetst of dit proces volgens de kwaliteitseisen is verlopen en gedocumenteerd. Bij eventuele onderzoeken van bijvoorbeeld de Auditdienst of de Rekenkamer en bij rechtszaken, kan dan eenvoudig worden aangetoond dat de juiste informatie op de juiste wijze is vernietigd.

8. Vernietigen van de informatieobjecten conform het vernietigingsprotocol

Nadat de voorgaande stappen zijn doorlopen, worden de gemaakte keuzes en afspraken eenduidig vastgelegd in een vernietigingsprotocol. Nadat dit vernietigingsprotocol in het juiste gremium (bijvoorbeeld het SIO) formeel is vastgesteld, kan de uitvoering van het protocol beginnen. Het is van belang dat ten minste de volgende activiteiten worden uitgevoerd:

  • Vernietigingslijst opstellen met de te vernietigen informatieobjecten.
  • Vernietigingslijst vaststellen in juiste gremium.
  • Vernietiging uitvoeren conform vastgelegde afspraken.
  • Verklaring van vernietiging opstellen en vaststellen.
  • De duurzame toegankelijkheid van de verklaring van vernietiging borgen.