Qual è l'attuale standard UE per la distruzione dei dati?

11

Sono stato a caccia di un paio di settimane cercando di scoprire quali sono gli standard attuali per la distruzione dei dati sensibili nell'UE / Regno Unito.

Se guardi alle aziende distruttive hanno diverse risposte BS EN: 15713: il 2009 arriva molto, ma lo fa anche DIN 66399, che in alcuni posti ha messo un EN davanti a renderlo uno standard UE. inoltre, molti posti si riferiscono allo standard HMG IA 5 del Regno Unito, ma sono stati sostituiti. L'ultimo standard che riesco a trovare è la distruzione sicura delle informazioni riservate dello standard CPNI di aprile 2014.

Ma nulla sembra essere definitivo come FIPS 880-88r1 e la ricerca CMRR da UC: SD, ma alcuni di essi contraddicono questi.

    
posta EnviableOne 12.04.2016 - 17:16
fonte

2 risposte

2

Non sono sicuro al 100% su quali siano le leggi e le linee guida dell'UE; Sospetto che sia lasciato agli stati membri decidere cosa pubblicare in merito alla cancellazione delle informazioni personali. Detto questo, ho trovato un PDF dall'ufficio del commissario per le informazioni del Regno Unito (ICO) e dichiarano in questo documento che ...

...the ICO will adopt a realistic approach in terms of recognising that deleting information from a system is not always a straightforward matter and that it is possible to put information ‘beyond use’, and for data protection compliance issues to be ‘suspended’ provided certain safeguards are in place

information has been deleted with no intention on the part of the data controller to use or access this again, but which may still exist in the electronic ether. For example, it could be waiting to be over-written with other data.

information that should have been deleted but is in fact still held on a live system because, for technical reasons, it is not possible to delete this information without also deleting other information held in the same batch.

e in aggiunta a questo nella prossima sezione afferma.

The ICO will be satisfied that information has been ‘put beyond use’ if not actually deleted, provided that the data controller holding it:

  1. is not able, or will not attempt, to use the personal data to inform any decision in respect of any individual or in a manner that affects the individual in any way;
  2. does not give any other organisation access to the personal data;
  3. surrounds the personal data with appropriate technical and organisational security; and
  4. commits to permanent deletion of the information if, or when, this becomes possible.

Quindi sospetto che loro, loro stessi, non conoscono l'approccio migliore, quindi lo stanno lasciando vaghi. Finché ti sforzerai di mostrarti cancellato e hai cercato di renderlo non recuperabile, immagino che ne siano felici. Come suggerito da te e Graham Hill (commenti), vorrei andare con uno standard del settore come BS EN: 15713 o DIN 66399.

Accesso al 15 maggio 2016

Sito Web ICO per le più recenti linee guida (Regno Unito)

PDF ICO all'eliminazione

    
risposta data 16.05.2016 - 00:55
fonte
2

ENISA è probabilmente tuo amico qui, dando un'occhiata al rapporto ENISA su Sicurezza dei dati personali nel contesto della conservazione dei dati , c'è una citazione specifica:

there are no norms and standards in place regulating how the destruction of data should take place.

insieme al consiglio:

Provide clear instructions on the procedures that have to be followed at the end of the retention period, when the data are to be deleted securely.

Quindi suppongo che non ci siano ancora degli standard.

    
risposta data 07.07.2016 - 17:16
fonte

Leggi altre domande sui tag