Fundamentalną zasadą prywatności i bezpieczeństwa danych jest to, że informacje, które nie są niezbędne dla biznesu, nie powinny być przechowywane. Zasada ta jest znana jako minimalizacja danych i ma na celu ochronę przed niepotrzebną i nieproporcjonalną szkodą w przypadku naruszenia bezpieczeństwa. Najpopularniejszą metodą stosowaną do minimalizowania danych jest wprowadzanie i egzekwowanie zasad przechowywania i niszczenie danych, które nie są potrzebne w całej organizacji.
Kiedy należy przeprowadzać niszczenie danych?
Należy przeprowadzić niszczenie danych, gdy nie są one już potrzebne do autoryzowanych celów. Jednak okres, w którym informacje pozostają niezbędne do autoryzowanych celów, nie jest ustandaryzowany w organizacjach, branżach lub operacjach. Ustalenie odpowiedniego okresu czasu wymaga podstawowej wiedzy na temat danych, które posiada firma, sposobu ich klasyfikacji (na przykład, czy zawierają dane osobowe), sposobu wykorzystania tych danych w działalności oraz wszelkich przepisów mających zastosowanie do ich przechowywania. Najczęstszym sposobem określenia tego okresu jest proces opracowywania i dokumentowania zasad i harmonogramów przechowywania danych.
Polityka przechowywania danych to polityka firmy, która wykracza poza ustawowe wymogi prawne i kieruje działaniami dotyczącymi tego, które informacje firma powinna przechowywać, usuwać lub przechowywać przez pewien okres, a następnie usunąć. Aby dane, które są dozwolone w ramach polityki, były przechowywane przez określony czas, a następnie muszą zostać usunięte, okres przechowywania jest ogólnie udokumentowany w harmonogramie przechowywania danych. Zarówno polityka, jak i harmonogram powinny odzwierciedlać rodzaje danych, jakie posiada firma, przepisy mające zastosowanie do ich przechowywania oraz pozycję ryzyka firmy.
Jak realizować niszczenie danych?
Istnieje wiele metod usuwania danych. Usuwanie danych i niszczenie danych różnią się skutecznością, od prostego naciśnięcia przycisku Usuń na komputerze osobistym po ręczne niszczenie nośnika, na którym przechowywane są dane. Nie każda z tych metod prowadzi jednak do zniszczenia danych, z czego bardzo często nie zdają sobie sprawy osoby, które pracują przy obsłudze urządzeń do przetwarzania danych. Z drugiej strony, nie zawsze potrzebne jest niszczenie danych i w wielu sytuacjach zwykłe usunięcie jest zupełnie wystarczające. Istotna jest jednak świadomość różnicy między tymi dwoma działaniami i posługiwanie się w każdej sytuacji taką metodą, jaka jest wskazana i wystarczająca. Najlepszą metodę usunięcia danych można określić na podstawie rodzaju i charakteru danych oraz ryzyka związanego z ich narażeniem.
Wiele firm nie potrzebuje danych przechowywanych na dyskach, które klienci przesyłają im w celu uzyskania wsparcia. W miarę możliwości klienci są instruowani, aby usunąć, zaszyfrować lub uniemożliwić odzyskanie wszystkich danych przechowywanych na zwróconych nośnikach przed ich zwrotem, z wyjątkiem tego, że zwroty gwarancyjne nie muszą być rozmagnesowywane w celu dokonania tego usunięcia i nie musi być przeprowadzane zaawansowane niszczenie danych.
