Quelle est la norme européenne actuelle pour la destruction des données?
Je cherche quelques semaines pour essayer de trouver ce que les normes actuelles en matière de destruction de données sensibles dans l'UE/Royaume-Uni sont.
Si vous regardez les entreprises de destruction, ils ont plusieurs réponses BS FR: 15713: 2009 annonces beaucoup, mais il en va de même pour DIN 66399 que certains places ont mis en avant la fabrication d'une norme de l'UE . En plus de cela, de nombreux endroits font référence à la norme UK HMG IA 5, mais elles ont été remplacées. La dernière norme que je peux trouver est la destruction standard de l'ACPNI d'avril 2014 d'informations sensibles.
Mais rien ne semble être aussi définitif que FIPS 880-88R1 et la recherche CMRR de l'UC: SD, mais certaines les contredisent.
Je ne suis pas sûr à 100% de ce que les lois et directives de l'UE seraient cependant; Je soupçonne qu'il est laissé aux États membres de décider de quoi émettre en ce qui concerne la suppression des informations personnelles. Avec cela, j'ai trouvé un PDF du bureau du commissaire de l'information UKKS (ICO) et ils indiquent dans ce document que ...
... L'ICO adoptera une approche réaliste en termes de reconnaissance de la suppression de l'information d'un système, n'est pas toujours une affaire directe et qu'il est possible de mettre des informations "au-delà de l'utilisation", ainsi que pour les problèmes de conformité de la protection des données " fourni certaines garanties sont en place
les informations ont été supprimées sans intention de la part du contrôleur de données d'utiliser ou d'y accéder à nouveau, mais qui peuvent toujours exister dans l'éther électronique. Par exemple, il pourrait être d'attendre d'être écrasé avec d'autres données.
les informations qui auraient dû être supprimées mais sont encore tenues sur un système en direct, car, pour des raisons techniques, il n'est pas possible de supprimer ces informations sans supprimer également d'autres informations détenues dans le même lot.
et dans l'aversion à cela dans la section suivante, il étage.
L'ICO sera convaincu que l'information a été "mise au-delà de l'utilisation" si elle n'est pas effectivement supprimée, à condition que le contrôleur de données le détient:
- n'est pas capable, ni ne tentera pas, d'utiliser les données personnelles pour informer toute décision concernant une personne ou de manière à affecter l'individu de quelque manière que ce soit;
- ne donne aucune autre organisation accès aux données personnelles;
- entoure les données personnelles avec une sécurité technique et organisationnelle appropriée; et
- s'engage à la suppression permanente des informations si, ou quand, cela devient possible.
Je soupçonne donc qu'ils ne connaissent pas eux-mêmes la meilleure approche, alors laissez-le vague. Tant que vous faites l'effort de montrer que vous l'avez supprimé et essayé de le rendre recouvrable, je suppose qu'ils sont heureux avec cela. Comme vous et Graham Hill (commentaires) suggéra, j'irais avec une norme de l'industrie telle que BS en: 15713 ou DIN 66399.
Accès au 15 mai 2016
ENISA est probablement votre ami ici, examinez le rapport Enisa sur sécuriser les données personnelles dans le contexte de la rétention de données , est une citation spécifique:
il n'y a pas de normes et de normes en place régulant la manière dont la destruction des données devrait avoir lieu.
avec la recommandation:
Fournir des instructions claires sur les procédures à suivre à la fin de la période de conservation, lorsque les données doivent être supprimées de manière sécurisée.
Je devrais donc deviner qu'il n'y a pas encore de normes.