policy Enterprise

Gegevensbewarings- en verwijderingsbeleid

Definieer hoe uw organisatie gegevens veilig bewaart en verwijdert in overeenstemming met belangrijke wettelijke verplichtingen, waarbij gegevensprivacy wordt beschermd en bedrijfsrisico’s worden geminimaliseerd.

Overzicht

Het Gegevensbewaringsbeleid beschrijft organisatorische eisen voor het bewaren en veilig verwijderen van gegevens, waarborgt naleving van wettelijke verplichtingen en naleving van de regelgeving, minimaliseert risico en dwingt duidelijke rollen en governance af in alle fasen van de gegevenslevenscyclus.

Naleving van de regelgeving

Voldoet aan de bewaar- en verwijderingsvereisten van ISO/IEC 27001:2022, GDPR, NIS2, DORA en COBIT 2019.

Veilige gegevensverwijdering

Dwingt onomkeerbare en gedocumenteerde vernietigingsmethoden af voor digitale en fysieke registraties.

Volledige dekking van de gegevenslevenscyclus

Omvat creatie, gebruik, archivering en compliance-gedreven veilige verwijdering voor alle gegevenstypen.

Gedefinieerde rollen en verantwoordelijkheden

Wijst duidelijke verantwoordingsplicht toe aan management, IT, gegevenseigenaren, derde partijen en personeel.

Volledig overzicht lezen
Het Gegevensbewarings- en verwijderingsbeleid (P14) stelt uitgebreide eisen vast voor de bewaring en veilige verwijdering van alle organisatiegegevens gedurende de volledige levenscyclus om naleving te waarborgen, risico te reduceren en operationele doeltreffendheid te ondersteunen. Dit beleid is organisatiebreed van toepassing en strekt zich uit tot elk fysiek en digitaal informatieactief dat eigendom is van, wordt verwerkt door of wordt bewaard door het bedrijf, inclusief activa die worden beheerd door derde partijen, dochterondernemingen en uitbestedingspartners. Onder de gedekte assets vallen digitale bestanden, databanken, e-mails en back-upsystemen, evenals papieren registraties en buiten gebruik gestelde hardware. Het primaire doel van het P14-beleid is het definiëren van strikte beheersmaatregelen voor hoe lang gegevens worden bewaard op basis van wettelijke verplichtingen, naleving van de regelgeving en operationele behoeften, en het waarborgen van permanente, veilige verwijdering wanneer gegevens niet langer vereist zijn. Door duidelijke bewaarschema’s en robuuste verwijderingsprocedures af te dwingen, ondersteunt het beleid de eisen van ISO/IEC 27001:2022, maakt het traceerbaar beheer van registraties mogelijk en beschermt het de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Belangrijk is dat het beleid de organisatie helpt onnodige gegevensaccumulatie te voorkomen die kan leiden tot schendingen van gegevensprivacy, inefficiënties of verhoogd bedrijfsrisico. Rollen en verantwoordelijkheden zijn duidelijk afgebakend binnen het beleid: topmanagement keurt naleving goed en houdt toezicht; de CISO is eigenaar van, definieert en monitort de implementatie van het beleid; de Data Protection Officer (DPO) adviseert over gegevensprivacy en valideert gegevensverwerkingspraktijken voor persoonsgegevens; en informatie-eigenaren zorgen ervoor dat schema’s gerechtvaardigd en geautoriseerd zijn. IT-teams zijn verantwoordelijk voor het implementeren van technische beheersmaatregelen, terwijl alle werknemers, contractanten en relevante derde partijen verplicht zijn de bewaar- en verwijderingsinstructies te volgen. Uitbestede leveranciers en cloudproviders moeten voldoen aan contractuele beveiligingsclausules en op verzoek auditbewijsmateriaal voor verwijdering leveren. Governance-eisen schrijven de opstelling en het onderhoud voor van een Master Data Retention Schedule (MDRS), die ten minste jaarlijks wordt herzien, en de goedkeuring van verwijderingsmethoden en certificaten voor alle verlopen gegevens. Het beleid dwingt classificatiegedreven bewaartermijnen af die zijn gekoppeld aan bedrijfsbehoeften en rechtsgronden, en verbiedt expliciet onbeperkte, wees- of niet-goedgekeurde gegevensbewaring. Gespecialiseerde bepalingen behandelen de bewaring van back-up- en archiefgegevens, met waarborging van afstemming op disaster recovery-doelstellingen en ondersteuning voor gegevenswissing op verzoek conform GDPR of andere privacywetgeving. Verwijderingsbeheersmaatregelen worden afgedwongen volgens NIST SP 800-88 of gelijkwaardige normen en verplichten onomkeerbare en gedocumenteerde vernietigingsmethoden voor zowel digitale als papieren media. Legal hold en opschorting van verwijdering hebben voorrang op normale verwijderingsschema’s in geval van gerechtelijke procedure of onderzoek, en alle uitzonderingen op geplande bewaring vereisen risicobeoordeling en goedkeuring door management. Handhaving en naleving omvatten periodieke audits, nalevingscontroles, meldingswerkstromen voor overtredingen en disciplinaire maatregelen waar nodig. Het beleid vereist ook doorlopende bewustwordingstraining in informatiebeveiliging voor personeel en activeert het Incidentresponsbeleid (P30) bij elke inbreuk of verwijderingsincident. Door het beleid periodiek te herzien en bij te werken, en gekoppelde documenten zoals het Beleid inzake toegangscontrole en het Asset Management Policy te synchroniseren, borgt de organisatie een verdedigbare, efficiënte en regelgeving-afgestemde aanpak voor governance van de gegevenslevenscyclus.

Beleidsdiagram

Diagram van het Gegevensbewarings- en verwijderingsbeleid dat de fasen van de gegevenslevenscyclus, classificatiegedreven bewaarschema’s, geautomatiseerde beheersmaatregelen en workflows voor veilige vernietiging illustreert.

Klik op het diagram om het op volledige grootte te bekijken

Inhoud

Scope en Rules of Engagement

Governance voor Master Data Retention Schedule (MDRS)

Bewaar- en verwijderingsprocessen voor digitale en fysieke gegevens

Legal hold en opschorting van verwijdering en uitzonderingsbeheer

Gegevensverwerking voor back-up- en archiefgegevens

Verwijderingsbeheersmaatregelen voor derde partijen en leveranciers

Framework-naleving

🛡️ Ondersteunde standaarden & frameworks

Dit product is afgestemd op de volgende compliance-frameworks, met gedetailleerde clausule- en controlemappings.

Framework Gedekte clausules / Controles
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.105.125.30
NIST SP 800-53 Rev.5
AU-11MP-6SI-12PL-2
EU GDPR
5(1)(e)1732
EU NIS2
21(2)(a-e)
EU DORA
59
COBIT 2019
DSS01DSS05MEA03

Gerelateerde beleidsregels

Beleid inzake toegangscontrole

Waarborgt dat alleen geautoriseerde personen toegang hebben tot gegevens gedurende de bewaartermijn en dat verlopen gegevens worden beperkt in afwachting van verwijdering.

Asset Management Policy

Identificeert welke assets gegevens bevatten die volgens schema moeten worden verwijderd en volgt hun levenscyclus van aanschaf tot vernietiging.

Gegevensclassificatie- en labelingsbeleid

Stuurt classificatiebeslissingen die direct bepalen hoe lang gegevens worden bewaard en welke verwijderingsmethode vereist is.

Back-up- en herstelbeleid

Definieert bewaartermijnen en verwijderingsprocedures voor back-upmedia en gerepliceerde gegevensactiva.

Beleid inzake cryptografische beheersmaatregelen

Ondersteunt cryptografische wissing voor verwijdering en dwingt encryptie af tijdens gegevensopslag tot aan vernietiging.

Incidentresponsbeleid (P30)

Wordt geactiveerd wanneer onjuiste verwijdering leidt tot mogelijk gegevensverlies, datalek of niet-naleving van de regelgeving.

Over Clarysec-beleidsdocumenten - Gegevensbewarings- en verwijderingsbeleid

Effectieve governance vereist meer dan alleen woorden; het vereist duidelijkheid, verantwoordingsplicht en een structuur die meegroeit met uw organisatie. Generieke sjablonen schieten vaak tekort en creëren ambiguïteit door lange alinea’s en ongedefinieerde rollen. Dit beleid is ontworpen als de operationele ruggengraat van uw beveiligingsprogramma. We wijzen verantwoordelijkheden toe aan de specifieke rollen die in een moderne onderneming voorkomen, waaronder de CISO, IT- en beveiligingsteams en relevante commissies, en borgen daarmee duidelijke verantwoordingsplicht. Elke eis is een uniek genummerde clausule (bijv. 5.1.1, 5.1.2). Deze atomische structuur maakt het beleid eenvoudig te implementeren, te auditen tegen specifieke beheersmaatregelen en veilig op maat te maken zonder de documentintegriteit aan te tasten, waardoor het verandert van een statisch document in een dynamisch, uitvoerbaar raamwerk.

Master Data Retention Schedule

Koppelt elk informatietype aan bewaartermijn, eigenaar, rechtsgrond en verwijderingsmethode voor traceerbare, auditeerbare beleidsnaleving.

Geautomatiseerde levenscyclusbeheersmaatregelen

Verplicht systeemgestuurde tagging, geplande opschoning en geautomatiseerde waarschuwingen voor doeltreffend levenscyclusbeheer en procesintegriteit.

Richtsnoeren voor uitzonderingen en legal hold

Integreert een gedocumenteerd proces voor uitzonderingen, legal hold-protocollen en jaarlijkse herziening voor regelgevende en operationele flexibiliteit.

Veelgestelde vragen

Ontwikkeld voor leiders, door leiders

Dit beleid is opgesteld door een securityleider met meer dan 25 jaar ervaring in het implementeren en auditen van ISMS-frameworks voor wereldwijde ondernemingen. Het is niet alleen bedoeld als document, maar als een verdedigbaar kader dat standhoudt onder auditoronderzoek.

Opgesteld door een expert met de volgende kwalificaties:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dekking & Onderwerpen

🏢 Doelafdelingen

IT Beveiliging Compliance Audit Juridische zaken

🏷️ Onderwerpdekking

Gegevensclassificatie Gedocumenteerde informatie Beleidsbeheer Nalevingsbeheer
€49

Eenmalige aankoop

Directe download
Levenslange updates
Data Retention and Disposal Policy

Productdetails

Type: policy
Categorie: Enterprise
Normen: 7