NIS2 & datadragers – audit-checklist voor veilige en compliant gegevensvernietiging
De vernieuwde NIS2-richtlijn verplicht organisaties in essentiële of belangrijke sectoren – zoals IT-diensten, zorg, energie, vervoer en financiële dienstverlening – hun cyber risico’s structureel te beheersen. Daarbij hoort óók het zorgvuldig afvoeren en vernietigen van end-of-life-datadragers, zodat gevoelige data niet alsnog op straat belandt. Een formeel Disposal & Destruction Policy is zelfs één van de documenten die NIS2-auditors mogen opvragen.
Checklist: bent u NIS2-compliant met uw datadragers?
|
Vragen
|
Toelichting
|
|---|---|
|
1. Actueel overzicht van alle datadragers?
|
Denk hierbij aan élke fysieke en virtuele drager, zoals pc’s, servers, harde schijven (HDD’s en SSD’s), tapes, USB-sticks, mobiele telefoons en zelfs IoT-apparaten.
|
|
2. Documenteerde procedures voor afvoer?
|
Zorg er dus voor dat per processtap — van inzamelen en registreren tot transport en vernietiging — duidelijk is wie binnen uw organisatie waarvoor verantwoordelijk is.
|
|
3. Vernietiging onder toezicht?
|
Een effectieve manier om ketenrisico’s te beperken, is het laten uitvoeren van on-site shredding of wiping door Vernietigen.nl, terwijl een medewerker van uw organisatie aanwezig is.
|
|
4. Werkt Vernietigen.nl gecertificeerd?
|
Wij volgen DIN 66399 (of gelijkwaardig) en leveren na afloop een ondertekend vernietigingscertificaat indien dit wordt opgevraagd.
|
|
5. Logging & auditrapport?
|
U ontvangt een digitaal rapport met serienummers, tijdstempels en handtekeningen als complete bewijslast.
|
|
6. Duurzame recycling van restmateriaal?
|
Op die manier draagt Vernietigen.nl bij aan uw MVO-doelstellingen, doordat metalen, kunststoffen en elektronica zorgvuldig worden gescheiden en hergebruikt.
|
|
7. Periodieke interne audits?
|
Daarnaast is het raadzaam om minimaal eens per jaar te evalueren of het bestaande beleid nog overeenkomt met de praktijk.
|
Waarom dit belangrijk is voor NIS2 én de AVG
- NIS2 verplicht een breed pakket aan beveiligingsmaatregelen, waaronder beheer van de volledige levenscyclus van informatie-assets. Onzorgvuldige vernietiging kan worden gezien als nalatige risicobeheersing en leidt tot boetes of bestuurdersaansprakelijkheid.
- AVG/GDPR eist dat persoonsgegevens worden verwijderd of onherstelbaar vernietigd zodra de verwerkingsgrondslag vervalt (art. 5(1)(e) – opslag beperking). Het correct vernietigen van datadragers voorkomt datalekken en bijbehorende meld- en schadeplicht.
Veilig, duurzaam en gecertificeerd vernietigen onder toezicht – door Vernietigen.nl
Vernietigen.nl verzorgt on-site gegevensvernietiging, zodat u vertrouwelijke data direct op locatie kunt laten vernietigen.
U kiest hierbij voor een vaste, eenmalige of periodieke service, afhankelijk van uw behoefte.
Daarbij wordt een mobiele shredder op uw locatie ingezet om gegevens direct te vernietigen.
Bovendien ontvangt u realtime logging én een digitaal vernietigingscertificaat als bewijs van correcte uitvoering.
Tot slot worden alle reststromen op verantwoorde wijze gerecycled, in lijn met uw duurzaamheidsbeleid.
Zo kunt u tijdens audits aantonen dat de volledige keten – van inventarisatie tot recycling – controleerbaar en aantoonbaar compliant is.