Inhoud
Certificeringsregeling Archief- en datavernietiging
Inhoud
Artikel 2 Doel van de certificering / Normatieve verwijzing 7
Artikel 4 Toelatingsvoorwaarden 8
4.1 Toelatingsvoorwaarden Voorwaarden en Grondbeginselen 8
4.1.1 Erkenningsregeling oudpapier en karton 8
4.1.3 College Bescherming Persoonsgegevens 8
4.1.5 Aanbieden Communicatie naar klant 8
4.1.5.1 Procesbeschrijving aan klant 8
4.1.5.3 Overdracht van verantwoordelijkheid 9
4.1.6.1 Eisen Wet Milieubeheer/Activiteitenbesluit 9
4.1.7 Leveranciersverklaring Vernietigingsmachine 9
4.1.9 Calamiteitenprocedure 10
4.1.9.1 Handelswijze bij calamiteiten 10
4.1.9.2 Uitwijkmogelijkheden bij calamiteiten 10
4.1.9.3 Informeren van klant bij calamiteiten 10
4.1.9.4 Informeren van management door medewerkers 11
4.2 Toelatingsvoorwaarden Middelen, Voorzieningen & Controle 11
4.2.2 Overbrengingsmiddelen 11
4.2.3.1 Afgesloten transportvoertuigen 11
4.2.3.2 Opbouw transportvoertuig 11
4.2.3.3 Toegangsopeningen transportvoertuigen 11
4.2.3.4 Afsluiten transportvoertuigen 11
4.2.4.1 Aanleveringslocatie 12
4.2.5 Archiefvernietigingsruimte 12
4.2.5.1 Gebouwen / Vernietigingsruimte 12
4.2.5.4 Inbraak - Alarminstallatie 12
4.2.6.1 Onderhoud / Logboeken 13
4.2.6.2 Technische vernietigingseisen machine 13
4.2.7 Vernietigd archief en datadragers 14
4.2.7.1 Laden vernietigd archief en datadragers 14
4.2.7.2 Controle vernietigd archief en datadragers 14
4.2.7.3 Mengen vernietigd archief en datadragers 14
4.2.8 Interne Audits / Controle 14
4.3 Toelatingsvoorwaarden Processtappen 15
4.3.1 Aanbieden / Inzamelen 15
4.3.1.1 Inzamelingsprocedure 15
4.3.1.2 Vernietigingsprocedure 15
4.3.1.3 Controleprocedure inzamelmiddelen 15
4.3.1.4 Overdracht verantwoordelijkheid 16
4.3.1.6 Gelijkwaardige behandeling 16
4.3.1.7 Vernietigingstermijn 16
4.3.2 AO/IC Verantwoordelijkheid en Bevoegdheid 17
4.3.2.1 Verantwoordelijkheid leeghalen containers 17
4.3.2.2 Wegen en Registreren 17
4.3.2.3 Controle vernietigingsklasse 17
4.3.2.4 Verantwoordelijke vernietigingsproces 17
4.3.2.5 Naspeurbaarheid ontvangen volumes 17
4.3.2.6 Screening medewerkers /Verklaring Omtrent het Gedrag 17
4.3.2.7 Geheimhoudingsverklaring 18
4.3.2.8 Personeelsinstructie 18
4.3.3.1 Controle volledige vernietiging archief en datadragers 19
4.3.3.2 Controle conform vernietigingsklasse 19
4.3.3.3 Optische en Zeef analyse 19
4.3.4 Proces afzet vernietigd archief en datadragers 19
4.3.4.1 Proces Verkoop vernietigd archief en datadragers 19
4.3.5 Proces Interne Audits 19
Artikel 6 Duur van de erkenning 20
Artikel 7 Weigeringsgronden 20
Artikel 8 Inwerkingtreding Certificeringsregeling 20
Artikel 9 Doorhalen van de inschrijving 21
Artikel 10 Indiening aanvraag 21
Artikel 15 Sancties en tenuitvoerlegging 22
Artikel 18 Inwerkingtreding 23
Artikel 19 Aansprakelijkheid 23
Artikel 21 Naam van de Certificeringsregeling 23
Bijlage 1; Certificatieschema 24
Bijlage 2; Kruisverwijzing tussen Toelatingsvoorwaarden en Checklist CA+ 25
Bijlage 3; Kruisverwijzing tussen Checklist en Toelatingsvoorwaarden CA+ 26
Bijlage 4; Hoofdlijnen Vernietigingsklassen DIN66399 27
Bijlage 5; Mal met vernietigingsklasse Papier P-1 28
Bijlage 6; P Gegevensbeschrijving in origineelformaat o.a. Papier 29
Bijlage 7; F Gegevensbeschrijving verkleind o.a. Microfilm 30
Bijlage 8; O Gegevensbeschrijving optische datadrager CD / DVD 31
Bijlage 9; T Gegevensbeschrijving magnetische datadrager Tapes 32
Bijlage 10; H Gegevensbeschrijving op Hardeschijf 33
Bijlage 11; E Gegevensbeschrijving elektronische datadrager Chip 34
Bijlage 12; Voorbeeld veiligheidsconcept samenstellen 35
Artikel 1 Begrippen
Aanbiedlocatie
Plaats waar archief en datadragers worden bewaard of ontstaan om vervolgens naar het vernietigingsproces te worden geleid (VAL).
Aanvrager
De onderneming die door indiening van een ingevuld aanvraagformulier te kennen heeft gegeven te willen deelnemen aan de Certificeringsregeling Archief- en datavernietiging.
Aanbieder
De klant van de aanvrager die archief en datadragers ter vernietiging aanbied.
AO/IC
Administratieve Organisatie / Interne Controle.
Archiefvernietigingsruimte
Een volledig afsluitbare ruimte waar de archief- en datavernietiging plaatsvindt.
Beschermingsbehoefte
De mate waarin (verspreiding van) archief en datadragers in niet vernietigde vorm schade kan toebrengen aan vertrouwelijkheid en/of veiligheid.
Uit een hogere beschermingsbehoefte volgt automatisch een hogere vernietigingsklasse.
Beschermingsgraad
Classificatie van bescherming, de mate waarin gegevens beschermd worden. Deze classificatie bestaat uit 3 niveaus, waarbij 1 de laagste is.
Beveiligingsniveau
‘Vernietiging van datadragers’ klasse aanduiding voor de (vernietigingsklasse) inspanning tot herstellen van gegevens.
Beveiligingszone
Passend bij het binnen de beschermingsklasse vallende beschermde bereik.
Bezoeker/leverancier/derden
Een ieder die niet als medewerker op de locatie van de archief- en datavernietigingsonderneming geregistreerd staat.
Certificeringsregeling Archief- en datavernietiging CA+
De Certificeringsregeling is een door of op initiatief van de FNOI vastgestelde regeling op grond waarvan een onafhankelijke erkennende instantie (VPGI) verklaart dat een onderneming aan de bepaalde eisen voldoet. Deze eisen omvatten de hieronder genoemde voorwaarden en verplichtingen alsmede alle op grond van deze regeling gebaseerde besluiten en uitvoeringsvoorschriften.
De Certificeringsregeling is gericht op het bereiken van het doel van de vernietiging, het proces van inzameling en/of transport, de vernietigingsmachines én het proces van vernietiging en de beheersing van deze processen.
Datadrager
Voorwerp, object of item dat gegevens bevat.
Deelnemer
De onderneming, die voldoet aan de in de Certificeringsregeling opgenomen toelatingsvoorwaarden en door middel van ondertekening van een deelnemingsovereenkomst gehouden is tot het nakomen van alle uit de Certificeringsregeling voortvloeiende verplichtingen.
Document
Datadrager en haar gegevens.
FNOI
Federatie Nederlandse Oudpapier Industrie.
Garantieverklaring
Een document met de verklaring van de archief- datavernietiger dat vernietiging van aangeleverd materiaal volgens de schriftelijk overeengekomen methode heeft plaatsgevonden.
Gegevens
Gestandaardiseerde weergave van feiten, concepten of opdrachten, geschikt voor communicatie, interpretatie of verwerking door mensen of geautomatiseerde processen.
Gegevensverwerking in opdracht
Verzameling, verwerking en gebruiken van gegevens door bevoegde/geautoriseerde derden. Opmerking: de vernietiging van datadragers betekent net zo goed een opdracht tot gegevensverwerking.
Inbraak-alarminstallatie
Alarmsysteem voor het detecteren en aanduiden van de aanwezigheid van binnendringing/inbreken of poging tot binnendringen/inbraak van een inbreker in bewaakte objecten.
Informatie
Gegevens met betekenis/inhoud.
Kwaliteitscontrole
Controle of vernietigd archief en datadrager voldoet aan de gestelde normen voor de aangegeven materiaalklasse en vernietigingsklasse.
Mobiele Vernietiger
Een mobiele installatie die op locatie voorziet in apparatuur voor en dienstverlening van vernietiging van archief en datadragers.
Materiaaldeeltje
Een deeltje van het vernietigde geheel.
Materiaalklasse PFOTHE
Papier, Film, Optische datadragers, Tape, Harde schijven, Elektronische datadragers.
Meetverklaring
Een verklaring van de controle op de goede werking van de vernietigingsapparatuur met daarin opgenomen gegevens over de leverancier van de installatie, machinetype, wijze van vernietiging, informatie over de vernietigingsklasse, informatie over de verwerkingscapaciteit, informatie over de materiaalsoort die op de installatie kan worden verwerkt (PFOTHE), datum en ondertekening.Oplossen
Omzetten van archief en datadrager in een suspensie.
Optische analyse
Het meetmateriaal (monster) is middels handmatige of halfautomatische analyse te meten en voorgesorteerd in:
• Materiaaldeeltjes die in hoedanigheid/gesteldheid(conditie), vorm, grootte binnen de in bijlage 6 t/m 11 vastgelegde waarden ligt, en;
• Materiaaldeeltjes die de waarden zoals in bijlage 6 t/m 11 overschrijden maar nog binnen de tolerantie vallen.
Het onderscheidende aandeel (hoeveelheid) is te bepalen.
Er mogen geen materiaaldeeltjes de in 4.3 aangegeven waarden zoals tolerantie overschrijden.
Passief GPS navigatiesysteem
Een passief navigatiesysteem geeft geen directe bewegingen aan en er is geen mogelijkheid de laatste beweging te bekijken. Bewegingen worden opgeslagen in het geheugen van het systeem en kunnen worden ingelezen door de computer om zo data van stops, richtingen, afstanden, tijd, datum, etc. zichtbaar te maken.
Persoonlijke gegevens
(individuele) gegevensmeldingen over persoonlijke of zakelijke verhoudingen van een bepaalde of bepaalbare natuurlijke persoon.
Proces
Geheel van samenhangende of elkaar beïnvloedende activiteiten dat input omzet in output.
Procedure
Gespecificeerde wijze van het uitvoeren van een activiteit of een proces.
Proefmateriaal
Monster, een door het bedrijf samengesteld representatief deel van de verwerkte materiaalstroom.
Regelmatig deeltje
Het materiaaldeeltje verwijst op basis van de gehanteerde snijmethode op een gewoonlijk onveranderbare, meestal rechthoekig formaat zoals opgegeven breedte en lengte.
Register
Het Register van Gecertificeerde Archief- en datavernietigingsondernemingen volgens de eisen van de Certificeringsregeling Archief- en datavernietiging CA+.
Veiligheidsniveau
Gradatie binnen welke vernietigingsklasse vernietiging plaats moet vinden.
Verantwoordelijke functie “Vernietiging van datadragers”
Iedere persoon of functie die gegevens voor zichzelf verzamelt, verwerkt of gebruikt of deze door anderen voor zijn rekening laat behandelen.
Vernietiging
De vorm of hoedanigheid van datadragers door verkleinen, oplossen, smelten verhitten of verbranden veranderen waardoor herstel van gegevens bemoeilijkt of onmogelijk wordt.
Vernietigingsklasse
Grootte waarnaar verkleind wordt.
Vernietigingsproces
De vorm of hoedanigheid van datadragers door verkleinen, oplossen, smelten, verhitten of verbranden veranderen.
Voorzieningen
Samenstelling van ruimtelijke en werkende samenhang van machines met als doel de datadragervernietiging.
VPGI
VPGI-Certificaat, belast met de uitvoering van deze Certificeringsregeling, hierna te noemen VPGI.
Zeefanalyse
Het meetmateriaal(monster) is middels zeefmethode te meten en voor te sorteren in:
• Materiaaldeeltjes die in hoedanigheid/gesteldheid (conditie), vorm en grootte binnen de in bijlage 6 t/m 11 voorgeschreven waarde liggen;
• materiaaldeeltjes die de waarde in bijlage 6 t/m 11 overschrijden maar nog binnen de tolerantie vallen. Het onderscheidende aandeel (hoeveelheid) is te bepalen.
Er mogen geen materiaaldeeltjes de in 4.3 aangegeven waarden zoals tolerantie overschrijden.
Artikel 2 Doel van de certificering / Normatieve verwijzing
De Certificeringsregeling heeft tot doel:
a. Het kunnen onderscheiden van archief- en datavernietigingsbedrijven die voldoen aan de eisen van deze regeling;
b. De bevordering van een herkenbare marktpositie van ondernemingen die voldoen aan de op grond van de Certificeringsregeling gestelde eisen;
c. Het geven van waarborgen aan klanten/opdrachtgevers ten aanzien van het adequate, efficiënte en sluitende proces van inzameling, opslag en vernietiging van vertrouwelijke papieren en andere datadragers;
d. Een ieder die zelf of in opdracht vertrouwelijke, persoonsgebonden en/of gevoelige data verwerkt te verplichten een zekere en veilige vernietiging van de datadrager met gevoelige data te verwezenlijken. (Met zekerheid vernietigd betekent in deze context dat de datadragers op welke beschermde gegevens geplaatst zijn zo vernietigd zijn, dat reproductie van de aangereikte gegevens ofwel onmogelijk dan wel alleen met aanzienlijke inspanningen (mensen, hulpmiddelen en tijd) mogelijk is).
Normatieve verwijzingen;
De volgende documenten waar naar verwezen wordt zijn input geweest voor de samenstelling van de CA+ certificeringsrichtlijn versie 1 december 2014;
• CA+ certificeringsrichtlijn versie 1 november 2007;
• CA+ checklist versie versie 1 november 2007;
• NAID Certification Program (National Association for Information Destruction);
• DIN 66399 -1;
• DIN 66399 -2;
• DIN 66399 -3.
Artikel 3 Werkingssfeer
Certificering volgens deze regeling staat alleen open voor FNOI leden die vertrouwelijk archief en datadragers afkomstig van klanten/opdrachtgevers vernietigen en erkend zijn volgens de Erkenningsregeling oudpapier en karton (OPK).
Bedrijven dienen te voldoen aan alle eisen die in deze norm worden gesteld. Voor mobiele vernietigers gelden dezelfde voorwaarden.
Artikel 4 Toelatingsvoorwaarden
4.1 Toelatingsvoorwaarden Voorwaarden en Grondbeginselen
4.1.1 Erkenningsregeling oudpapier en karton
De aanvrager is ingeschreven in het Register van ondernemingen die voldoen aan de Erkenningsregeling oudpapier en karton (OPK) of (in geval van gecombineerde aanvraag) de onderneming voldoet aan de eisen zoals gesteld in de Erkenningsregeling oudpapier en karton (OPK).
Een aanvrager die beschikt over de erkenning OPK (gecertificeerd voor OPK totaal) is in het bezit van de basis voor de CA+ certificering.
4.1.2 Mobiele vernietiging
De aanvrager is ingeschreven in het Register van ondernemingen die voldoen aan de Erkenningsregeling oudpapier en karton (OPK) of (in geval van gecombineerde aanvraag) de onderneming voldoet aan de eisen zoals gesteld in de Erkenningsregeling oudpapier en karton (OPK) of levert/stort het mobiel vernietigde materiaal rechtstreeks op een OPK gecertificeerde locatie.
4.1.3 College Bescherming Persoonsgegevens
De aanvrager moet bij het College Bescherming Persoonsgegevens (CBP) melding hebben gedaan van persoonsregistratie middels cameratoezicht.
Camerabeelden dienen 30 dagen na vernietiging bewaard te worden, tenzij een klant een langere termijn voorschrijft.
Er moeten borden zijn geplaatst die wijzen op het gebruik van cameratoezicht.
4.1.4 Vernietigingsklasse
De aanvrager maakt in de aanvraag kenbaar voor welke materiaalklassen (PFOTHE) en per materiaalklasse welke vernietigingsklasse (1 t/m 7) men gecertificeerd wil worden (zie Bijlage 4 Hoofdlijnen Vernietigingsklassen DIN66399).
Indien de aanvrager door vermenging en persen een hogere vernietigingsklasse wil bereiken zal in de aanvraag hiermee rekening moeten worden gehouden en worden aangegeven.
Een procesbeschrijving/procedure voor de kwaliteitscontrole van vernietigde archieven en datadragers moet beschikbaar zijn.
4.1.5 Aanbieden Communicatie naar klant
4.1.5.1 Procesbeschrijving aan klant
Een procesbeschrijving/procedure voor het inzamelen en vernietigen van het vertrouwelijk archief en/of datadrager moet vóór plaatsing van inzamelmiddelen/dan wel de inzameling zelf aan de klant aantoonbaar kenbaar worden gemaakt.
Archief- en datavernietigingsbedrijven informeren de aanbieder/klant over de van toepassing zijnde beschermingsbehoefte van diens gegevens, en bepalen aan de hand van de van toepassing zijnde beschermingsbehoefte in overleg met de klant de beschermingsgraad (1, 2 of 3) met de daaraan gekoppelde vernietigingsklasse (zie als voorbeeld hiervoor de referentietabel in bijlage 12).
Voor promotionele doeleinden kan men de ‘meetverklaring’ van de leverancier van de machine hanteren. Dit document heeft een geldigheidsduur van maximaal 5 jaar. (zie ook 4.2.6.2).
4.1.5.2 Garantiedocument
In de onder 4.1.5.1 genoemde procesbeschrijving/procedure moet zijn vastgelegd dat vóór de plaatsing van de inzamelmiddelen dan wel de inzameling zelf de aanbieder uitdrukkelijk moet worden gevraagd of deze (per levering) een garantiedocument van vernietiging wenst.
Op verzoek van de aanbieder moet een garantiedocument van vernietiging kunnen worden aangeboden. In deze garantieverklaring moet tenminste zijn opgenomen:
• naam van de aanbieder;
• datum (van vernietiging);
• plaats van vernietiging;
• de hoeveelheid aangeboden archief en datadrager dan wel het aangeboden aantal inzamelmiddelen;
• de materiaalklasse PFOTHE;
• de beschermingsgraad waarin het archief en datadrager is vernietigd (Bijlage 4);
• de vernietigingsklasse waarin het archief en datadrager is vernietigd (Bijlage 4).
4.1.5.3 Overdracht van verantwoordelijkheid
In de onder 4.1.5.1 genoemde procesbeschrijving/procedure moet zijn vastgelegd dat de overdracht van het te vernietigen archief en datadrager, en daarmee de overdracht van verantwoordelijkheid, pas geschiedt op het moment dat de afgesloten inzamelmiddelen bij de klant worden opgehaald dan wel geleegd.
Bij zogenaamde “eenmalige opruimingen” waarbij archief en datadragers in grote hoeveelheden wordt aangeboden (dozen, pallets) waardoor het aanbieden van archief en datadragers in afgesloten containers praktisch niet mogelijk is, dient de archief- en datavernietigingsonderneming een overeenkomst met de klant te sluiten waarin beschreven staat dat de verantwoordelijkheid voor de vertrouwelijke behandeling van het archief en datadragers pas overgaat op de archief- en datavernietigingsonderneming op het moment van lossen in de archiefvernietigingsruimte, en/of dat duidelijk is overeengekomen dat archief en datadragers franco worden aangeleverd op de vernietigingslocatie.
4.1.6 Vergunningen
De archiefvernietigingsruimte moet solide van opbouw zijn, en voldoen aan de voorschriften uit de geldende vergunning krachtens de Wet Milieubeheer, dan wel uit geldende eisen van het Activiteitenbesluit.
Vernietigers dienen te voldoen aan de brandvoorschriften uit de geldende vergunning krachtens de Wet Milieubeheer, dan wel uit geldende eisen van het Activiteitenbesluit.
4.1.6.1 Eisen Wet Milieubeheer/Activiteitenbesluit
De aanvrager heeft zijn acceptatieprocedure correct naar de eisen van de Wet Milieubeheer, dan wel het Activiteitenbesluit, opgesteld.
4.1.7 Leveranciersverklaring Vernietigingsmachine
De verklaring moet tenminste de volgende informatie bevatten:
• leverancier installatie;
• machinetype;
• wijze van vernietigen en wijze van bereiken van de gewenste vernietigingsklasse;
• informatie over de vernietigingsklasse;
• informatie over de verwerkingscapaciteit;
• informatie over het materiaal dat door de installatie verwerkt kan worden (PFOTHE);
• datum en ondertekening.
4.1.8 Procesbeschrijving
Het gehele proces (afhankelijk van het niveau van dienstverlening), alsmede de werkwijze en verantwoordelijkheden dienen schriftelijk te zijn vastgelegd.
Het personeel moet volledig op de hoogte zijn van alle procedures en instructies met betrekking tot het te vernietigen archief en de datadragers. Tevens moet iedere werknemer in het bezit zijn van een actuele instructie, welke in goede staat is, waarin alle procedures en instructies zijn vastgelegd.
4.1.9 Calamiteitenprocedure
4.1.9.1 Handelswijze bij calamiteiten
Er dient een calamiteitenprocedure binnen de archief- en datavernietigingsonderneming te zijn vastgelegd (handelwijze personeel, omgang met hulpdiensten en vastleggen uitwijkmogelijkheden, informeren klant e.d.).
4.1.9.2 Uitwijkmogelijkheden bij calamiteiten
In de calamiteitenprocedure dient mede te zijn vastgelegd naar welke bedrijven/vernietigingsinrichting zal worden uitgeweken bij calamiteiten.
De bedrijven/vernietigingsinrichting, waarnaar wordt uitgeweken, dienen in het bezit te zijn van een geldig CA+ certificaat.
De bedrijven/vernietigingsinrichting waarnaar wordt uitgeweken, dient minimaal naar de met de klant overeengekomen vernietigingsklasse te kunnen verwerken.
4.1.9.3 Informeren van klant bij calamiteiten
In de calamiteitenprocedure van de aanvrager is opgenomen dat men de klant bij calamiteiten zo spoedig mogelijk waarschuwt bij het mogelijk vrijkomen van of ongeoorloofde toegang tot gegevens van de klant.
4.1.9.4 Informeren van management door medewerkers
De aanvrager dient een werkinstructie / procedure te hebben vastgelegd waarin is opgenomen dat en hoe medewerkers het management waarschuwt indien mogelijk gegevens van de klant is vrijgekomen.
4.2 Toelatingsvoorwaarden Middelen, Voorzieningen & Controle
4.2.1 Inzamelmiddelen
Alle aan de klant aangeboden inzamelmiddelen moeten afgesloten c.q. afsluitbaar zijn. Als inzamelmiddelen mogen slechts worden gebruikt:
• afsluitbare kunststof containers met dichte ombouw;
• afsluitbare metalen containers met dichte ombouw.
(Noch gaascontainers, noch afgezeilde containers zijn toegestaan).
Speciale zakken met sluitklip worden niet als inzamelmiddel, maar als overbrengmiddel gezien.
4.2.2 Overbrengingsmiddelen
Indien gebruik wordt gemaakt van buiten het gebouw geplaatste gesloten opslagcontainers, dan dient de aanvrager het archief en datadragers – bij overbrenging van gebouw naar de container of het transportmiddel – deugdelijk te verpakken om verwaaiing te voorkomen.
4.2.3 Transportvoertuigen
4.2.3.1 Afgesloten transportvoertuigen
Het transport moet plaatsvinden in afgesloten transportvoertuigen.
4.2.3.2 Opbouw transportvoertuig
Transportvoertuig dient te zijn voorzien van een dichte, harde opbouw, dan wel met een opbouw met een aantoonbaar minimaal gelijkwaardig beschermingsniveau.
4.2.3.3 Toegangsopeningen transportvoertuigen
Alle deuren c.q. toegangsopeningen van het transportvoertuig moeten afsluitbaar zijn.
Het transportvoertuig moet zo zijn uitgerust dat het voor onbevoegden redelijkerwijs onmogelijk is bij het vertrouwelijk archief en de datadragers te komen tijdens het wisselen of legen van de containers.
4.2.3.4 Afsluiten transportvoertuigen
Indien onbeheerd, moeten transportvoertuigen te allen tijde volledig zijn afgesloten.
4.2.3.5 GPS of bemanning
Het transportvoertuig beschikt tenminste over een passief GPS-navigatiesysteem of het transport wordt door tenminste twee personen begeleid.
4.2.4 Lossen / Overdracht
4.2.4.1 Aanleveringslocatie
Het lossen c.q. de overdracht van het archief en de datadragers bij aanlevering op de vernietigingslocatie vindt plaats in een afgesloten ruimte waar het voertuig en de (externe) chauffeur, alsmede eventuele bijrijder(s) onder voortdurend toezicht (fysiek of d.m.v. cameratoezicht) staan van personeel van de archief- en datavernietigingsonderneming.
4.2.5 Archiefvernietigingsruimte
4.2.5.1 Gebouwen / Vernietigingsruimte
De archiefvernietigingsruimte moet solide van opbouw zijn, en voldoen aan de voorschriften uit de geldende vergunning krachtens de Wet Milieubeheer, dan wel het Activiteitenbesluit.
Mobiele vernietigers moeten voldoen aan de Wegenverkeerswet.
De onderneming bezit een bedrijfsgebouw of een op zich staand gesloten gebied (veiligheidszone) in een groter gebouw, welke uitsluitend voor het doel van archief- en datadragervernietiging gebruikt wordt.
4.2.5.2 Afsluitbaarheid
De opslag van nog niet vernietigd archief en datadragers alsook de archief- en datadragervernietiging zelf moet plaatsvinden in een ruimte die volledig afsluitbaar is, hierna te noemen: de archiefvernietigingsruimte. In deze ruimte mogen uitsluitend inzamelstromen zijn opgeslagen, welke moeten worden vernietigd, of reeds zijn vernietigd.
Er dient een duidelijk onderscheid aangebracht te zijn tussen de in opdracht van de klant opgeslagen vertrouwelijk archief en datadragers dat (nog) niet vernietigd dient te worden, en vertrouwelijk archief en datadragers dat aangeboden is voor directe vernietiging.
4.2.5.3 Toegankelijkheid
De archiefvernietigingsruimte mag niet toegankelijk zijn voor onbevoegden.
4.2.5.4 Inbraak - Alarminstallatie
De archiefvernietigingsruimte, dan wel het terrein waar de archief-vernietigingsruimte is gevestigd, moet zijn voorzien van een alarminstallatie voor braak.
Wanneer on-vernietigd archief en datadragers onbewaakt opgeslagen worden moet het bedrijfsgebouw, respectievelijk het gebied, met een inbraak-alarminstallatie uitgerust zijn.
Deze inbraak-alarminstallatie moet zijn doorgeschakeld naar een interne functionaris, dan wel een extern beveiligingsbedrijf.
4.2.5.5 Camerabewaking
De archiefvernietigingsruimte moet van binnen zijn voorzien van permanente camerabewaking, waarmee alle activiteiten van het archiefvernietigingsproces in de archiefvernietigingsruimte worden vastgelegd. Ook de toegang van de archiefvernietigingsruimte moet van permanente camerabewaking zijn voorzien.
4.2.5.6 Capaciteit
Binnen de bedrijfsvoering en administratie moet aantoonbaar zijn gewaarborgd dat er niet meer archief- en datadrager wordt ontvangen, dan in de archiefvernietigingsruimte kan worden opgeslagen/verwerkt (capaciteit en bufferprocedures).
4.2.6 Vernietiger
4.2.6.1 Onderhoud / Logboeken
Een archiefvernietigingsonderneming moet in het bezit zijn van een (schriftelijk) aantoonbaar goed onderhouden vernietiger.
In verband met de borging van de kwaliteit van de vernietiging dient een periodieke (maar tenminste eenmaal per kwartaal) controle op een goede werking van de vernietigingsapparatuur in het onderhoudsschema te zijn opgenomen.
Van de gehele controle volgt een rapport (meetverklaring) met daarin de volgende informatie vastgelegd. De meetverklaring is alleen voor de aanvrager bestemd.
1. plaats en tijd van meting;
2. test/meetlocatie, verantwoordelijke tester/meter;
3. machinetype en serienummer;
4. meetgegevens van:
- de verwerkingssnelheid van de vernietiger;
- manier van monstername;
5. informatie over de bereikte vernietigingsklasse.
Minimaal 1 x per jaar moet een controle op de goede werking alsmede de veiligheid van de vernietigingsapparatuur plaatsvinden door voldoende opgeleid (extern) technisch onderhoudspersoneel of de leverancier.
4.2.6.2 Technische vernietigingseisen machine
De apparatuur en instelbare roosters moeten technisch voldoen aan de eis om aangeboden archief en datadragers te vernietigen tot een formaat niet groter dan:
• Vernietigingsklasse 1 • P-1 Papier • strokenbreedte max.12mm
lengte geen beperking
• materiaaloppervlakte = 2.000mm2
• overschrijding toegestaan 10% max. grootte 3800mm2
• Vernietigingsklasse 1 • F-1 • materiaaloppervlakte = 160mm2
• Vernietigingsklasse 1 • O-1 • materiaaloppervlakte = 2.000mm2
• overschrijding toegestaan 10% max. grootte 3800mm2
• Vernietigingsklasse 1 • T-1 • Medium mechanisch onbruikbaar
• Vernietigingsklasse 1 • H-1 • Harde schijf mechanisch / elektronisch
onbruikbaar
• Vernietigingsklasse 1 • E-1 • Medium mechanisch / elektronisch
onbruikbaar
In het certificaat archief- en datavernietiging en de bijbehorende officiële stukken behorende bij deze regeling voor archief- en datavernietiging zal worden vastgelegd tot en met welke vernietigingsklasse de archief- en datavernietigingsonderneming in staat is om vertrouwelijk materiaal te vernietigen.
De indeling in een vernietigingsklasse is gebaseerd op de vernietigingsklasse-indeling van de DIN 66399-2 (Nederlandse vertaling hoofdlijnen DIN norm: bijlage 4).
Tevens moet aantoonbaar zijn welke soorten de machine kan verwerken:
• P - Gegevensweergave in originele grootte (papier, film, drukvorm, );
• F - Gegevensweergave verkleint (film, folie, dia. );
• O - Gegevensweergave op optische datadragers (cd, dvd,. );
• T - Gegevensweergave op magnetische datadragers (diskettes, identiteitskaarten, magneetbanden, cassettebandjes, );
• H - Gegevensweergave op harde schijven met magnetische datadragers (harde schijven);
• E - Gegevensweergave op elektronische datadragers (usb-stick, chipkaart, mobiele communicatiemiddelen.
4.2.7 Vernietigd archief en datadragers
4.2.7.1 Laden vernietigd archief en datadragers
De archief- en datavernietigingsonderneming dient bij laden van het reeds vernietigde vertrouwelijk archief en datadrager maatregelen te treffen om te voorkomen dat verwaaiing van het vernietigd vertrouwelijk archief en datadrager naar buiten de inrichting plaats vindt.
4.2.7.2 Controle vernietigd archief en datadragers
Controle moet worden uitgevoerd om te beoordelen of archief en datadragers volledig vernietigd zijn. Machines/inrichtingen moeten de mogelijkheid bieden om dit te kunnen controleren.
4.2.7.3 Mengen vernietigd archief en datadragers
Mengen en persen van de vernietigd archief en datadragers bemoeilijkt de reproductie. Het uitlezen van één materiaaldeeltje wordt hierdoor echter niet bemoeilijkt.
Voor archief en datadragers met gegevensweergave in originele grootte of verkleinde gegevensweergave, die in de vernietigingsklasse één, twee of drie vernietigd zijn, kunnen door vermenging en persen een opeenvolgende hogere doch maximaal vernietigingsklasse vier toepassing krijgen.
Het vernietigingsbedrijf is verplicht te vermelden hoe de maximale vernietigingsklasse bereikt is. Is dit ná vermenging én persen of is deze klasse behaald direct gemeten vanuit de vernietiger.
4.2.8 Interne Audits / Controle
De aanvrager moet met geplande tussenpozen en minimaal 1x per jaar interne audits / controles uitvoeren om vast te stellen of het proces en de middelen doeltreffend worden gebruikt en onderhouden.
Van deze interne audits / controles moeten registraties aanwezig zijn.
4.2.8.1 Opstallen / Opbouw
Controle op het solide zijn van de opstallen dan wel de opbouw moet zijn uitgevoerd.
Het voldoen aan de Wet Milieubeheer, dan wel het Activiteitenbesluit, moet zijn beoordeeld. Mobiele vernietigers dienen te voldoen aan de Wegenverkeerswet.
Controle van het gesloten gebied (veiligheidszone) welke uitsluitend voor het doel van gegevensvernietiging gebruikt wordt moet zijn uitgevoerd.
4.2.8.2 Afsluitbaarheid
Controle op volledige afsluitbaarheid moet zijn uitgevoerd.
4.2.8.3 Toegankelijkheid
Beoordeling van toegankelijkheid voor onbevoegden moet zijn uitgevoerd.
4.2.8.4 Alarminstallatie
Een jaarlijkse controle van het inbraak - alarmsysteem moet zijn uitgevoerd.
4.2.8.5 Camerabewaking
Een wekelijkse controle van het camerabewakingssysteem en de beeldregistratie moet plaatsvinden.
hierin moeten minimaal onderstaande punten zijn beoordeeld.
• weergave;
• dekking opnamegebied;
• opname;
• opslag van de data.
4.3 Toelatingsvoorwaarden Processtappen
De procesbeschrijving moet de gehele keten dekken: van ophalen bij de klant tot afvoer van gereed product.
4.3.1 Aanbieden / Inzamelen
4.3.1.1 Inzamelingsprocedure
Een procesbeschrijving/procedure voor het inzamelen van het vertrouwelijk archief en de datadragers moet zijn opgesteld. Deze moet vóór plaatsing van inzamelmiddelen dan wel de inzameling zelf aan de klant/aanbieder zijn aangeboden.
4.3.1.2 Vernietigingsprocedure
Een procesbeschrijving/procedure voor de vernietiging van het vertrouwelijk archief en de datadragers moet zijn opgesteld. Deze moet vóór plaatsing van inzamelmiddelen dan wel de inzameling zelf aan de klant/aanbieder zijn aangeboden.
Indien de klant aangeeft in welke beschermingsgraad (1, 2 of 3) het type archief en datadrager vernietigd moet worden, dan zal de organisatie dit aantoonbaar maken aan de hand van het veiligheidsconcept
(zie bijlage 12).
Bepaald moet zijn hoe materiaalsoorten en vernietigingsklasse (per materiaalsoort) geregistreerd worden:
• PFOTHE;
• 1-7.
4.3.1.3 Controleprocedure inzamelmiddelen
Vastgelegd moet zijn in een controleprocedure dat alle inzamelmiddelen, die worden uitgezet bij klanten, geheel leeg zijn.
4.3.1.4 Overdracht verantwoordelijkheid
De aanvrager moet een overnameprotocol vastleggen met daarin beschreven:
• wanneer de overdracht van verantwoordelijkheid plaatsvindt;
• dat bij zogenaamde “eenmalige opruimingen” waarbij archief en datadragers in grote hoeveelheden wordt aangeboden (dozen, pallets) waardoor het aanbieden van archief en datadragers in afgesloten containers praktisch niet mogelijk is, dient de archief- en datavernietigingsonderneming een overeenkomst met de klant te sluiten waarin beschreven staat dat de verantwoordelijkheid voor de vertrouwelijke behandeling van het archief en datadragers pas overgaat op de archief- en datavernietigingsonderneming op het moment van lossen in de archiefvernietigingsruimte, of dat duidelijk is overeengekomen dat archief en datadragers franco worden aangeleverd op de vernietigingslocatie;
• waar gegevens/registraties van het overnameprotocol te herleiden zijn.
4.3.1.5 Transport
In een procesbeschrijving/procedure moet zijn vastgelegd dat:
• behoudens laad en losmomenten, beladen transport- en inzamelmiddelen niet onbeheerd op de openbare weg mogen worden achtergelaten;
• het transport moet plaatsvinden in afgesloten transportvoertuigen;7
• het transportvoertuig een afsluitbare en afgesloten vaste opbouw heeft.
4.3.1.6 Gelijkwaardige behandeling
In een procesbeschrijving/procedure moet zijn vastgelegd dat vertrouwelijk archief en datadragers gescheiden vervoerd dienen te worden van niet vertrouwelijk archief en datadragers.
Indien dit niet het geval is, dan dient het niet vertrouwelijke archief en de datadragers op dezelfde wijze behandeld te worden als het te vernietigen vertrouwelijke archief en de datadragers.
Ook indien de klant hierom verzoekt, mag niet in neerwaartse zin van de in de Certificeringsregeling Archief- en datavernietiging vastgelegde eisen en procedures worden afgeweken. In welke vorm dan ook.
De dienstverlener moet bij het lossen en bij de vermenging van archief en datadragers die voor vernietiging in verschillende veiligheidsklassen ingedeeld zijn, de hoogst overeenkomende vernietigingsklasse voor de gehele lading toepassen.
4.3.1.7 Vernietigingstermijn
In een procesbeschrijving/procedure moet zijn vastgelegd dat archief en datadragers uiterlijk binnen 2 werkdagen na overdracht aan de archief- en datavernietigingsonderneming en binnen 1 werkdag na binnenkomst op het terrein van de archief- en datavernietigingsonderneming dient te zijn vernietigd. Van de gestelde vernietigingstermijn alleen mag worden afgeweken als klant hiervoor uitdrukkelijke schriftelijke toestemming heeft verleend.
4.3.2 AO/IC Verantwoordelijkheid en Bevoegdheid
4.3.2.1 Verantwoordelijkheid leeghalen containers
De verantwoordelijkheid voor het leeghalen van de containers met het ter vernietiging aangeboden archief- en datadragers dient schriftelijk te zijn vastgelegd.
Contact met losse archief en datadragers (bijvoorbeeld tijdens overladen of opbulken) mag uitsluitend binnen een gesloten ruimte plaatsvinden.
4.3.2.2 Wegen en Registreren
De als archief en datadragers ter vernietiging aangeboden kilogrammen moeten worden gewogen met een geijkte elektronische weeginstallatie, en geregistreerd.
Gewichtsregistratie behoeft niet per klant plaats te vinden.
4.3.2.3 Controle vernietigingsklasse
Doel van de meting: beoordelen van de behaalde vernietigingsklasse, in dit geval welke van de 7.
In verband met de borging van de kwaliteit van de archief- en datavernietiging dient een periodieke (maar tenminste maandelijkse) controle op een goede werking van de vernietigingsapparatuur in het onderhoudsschema te zijn vastgesteld en vastgelegd wie de verantwoordelijkheid heeft.
In procedures/werkinstructies moet vastgelegd worden;
• controle op de wijze van onderhouden van de machine;
• controle op het voldoen aan de vernietigingsklasse;
• instructies aan medewerkers hoe men dient te reageren bij afwijkende grootte;
• of daadwerkelijk machines worden ingezet die kunnen voldoen aan de eisen van de vernietigingsklasse.
Het proces van de controle of dat archief en datadragers volledig vernietigd zijn moet worden uitgevoerd en machines/inrichtingen moeten de mogelijkheid bieden om dit proces te kunnen controleren.
De dienstverlener of verantwoordelijke functie moet volgens de regels regelmatige monsterafnames doen. Deze verantwoordelijkheid moet zijn vastgelegd.
Proefmateriaal om aantoonbaar te maken dat de machine de juiste klasse kan verwerken moeten worden gearchiveerd. De monsterafname dient een representatieve steekproef te zijn.
Gearchiveerde monsterafname van vernietigde archief en datadragers mag maximaal 1 kwartaal oud zijn.
4.3.2.4 Verantwoordelijke vernietigingsproces
Binnen de onderneming moet een verantwoordelijk persoon voor het archief- en datavernietigingsproces zijn aangewezen. Deze verantwoordelijkheid met inhoudelijk de bijkomende taken en bevoegdheden dient schriftelijk te zijn vastgelegd.
4.3.2.5 Naspeurbaarheid ontvangen volumes
De naspeurbaarheid qua ontvangen volumes ter vernietiging aangeboden archief en datadragers moet zijn gewaarborgd en in een procesbeschrijving/procedure zijn vastgelegd.
4.3.2.6 Screening medewerkers /Verklaring Omtrent het Gedrag
Voor iedere werknemer, die zich bezighoudt met het archiefvernietigingsproces en daarbij fysiek in contact komt met te vernietigen archief en datadragers, moet door de gemeente minimaal eens in de vijf jaar een ‘verklaring omtrent het gedrag’ zijn afgegeven.
De verklaring omtrent het gedrag moet zijn aangevraagd op de punten 11, 12, 13, 36, 61 en voor chauffeurs tevens 62 die staan vermeld op het aanvraagformulier Verklaring Omtrent het Gedrag Natuurlijke Personen (versie 12-6-2014 xxxxx://xxx.xxxxxx.xx/Xxxxxx/xxxxxxxxxxxxxxxxx-xxx-xx-x0.0_xxx000-000000.xxx )
4.3.2.7 Geheimhoudingsverklaring
Alle medewerkers van de dienstverlener die aan het proces deelnemen, worden tot geheimhouding verplicht Iedere werknemer moet een verklaring ondertekenen tot geheimhouding over aard, hoeveelheid en inhoud van het te vernietigen archief.
4.3.2.8 Personeelsinstructie
Het personeel moet volledig op de hoogte zijn van alle procedures en instructies met betrekking tot te vernietigen archief en datadragers. Tevens moet iedere werknemer in het bezit zijn van een actuele instructie, welke in goede staat is, waarin alle procedures en instructies zijn vastgelegd.
De technische en organisatorische maatregelen voor het vernietigingsproces dienen te zijn gedefinieerd.
Medewerkers moeten zijn geïnstrueerd hoe het management dient te worden gewaarschuwd indien mogelijk gegevens van de klant zijn vrijgekomen.
4.3.2.9 Chauffeurs
Chauffeurs en beladers moeten te allen tijde een identiteitsbewijs met recente pasfoto bij zich dragen. Tevens moeten zij herkenbaar zijn aan bedrijfskleding met daarop naam en logo van de archief- en datavernietigingsonderneming.
4.3.2.10 Bezoekers
Bezoekers mogen zich niet zonder begeleiding van personeel van de archief- en datavernietigingsonderneming binnen de archief- en datavernietigingsruimte begeven. Bezoekers van de archiefvernietigingsruimte dienen te worden geregistreerd en een geheimhoudingsverklaring ondertekenen.
Bezoekers aan de archiefvernietigingsruimte dienen herkenbaar te zijn (tenminste door bezoekerspas).
4.3.2.11 CCTV installatie
De aanvrager legt vast wie de verantwoordelijkheid draagt over de controle van het CCTV systeem en hoe deze controles worden geregistreerd.
4.3.3 Proces vernietiging
4.3.3.1 Controle volledige vernietiging archief en datadragers
Er dient een procesbeschrijving/procedure te zijn van hoe gecontroleerd wordt of datadragers volledig vernietigd zijn:
1. controle moet worden uitgevoerd of datadragers volledig vernietigd zijn en machines/inrichtingen moeten de mogelijkheid bieden om dit te kunnen controleren;
2. de dienstverlener of verantwoordelijke functie moet volgens de regels regelmatige monsterafnames doen;
3. kwaliteitscontrole om zeker te stellen dat de vernietigde gegevens qua grootte voldoet aan de gestelde normen voor het mediatype waarvoor de onderneming zich heeft opgegeven;
4. worden daadwerkelijk machines ingezet die kunnen voldoen aan de eisen van de vernietigingsklasse.
4.3.3.2 Controle conform vernietigingsklasse
Procesbeschrijving/procedure voor het uitvoeren van metingen of dat de vernietigingsklasse gehaald wordt moeten zijn vastgelegd.
4.3.3.3 Optische en Zeef analyse
Procesbeschrijving/procedures en instructies met betrekking tot optische analyse en zeefanalyse moeten zijn vastgelegd.
De procedure voor het nemen van monsters moet zijn vastgelegd en de wijze van registraties van deze monsterafnames.
De Monstername moet tenminste 1x per kwartaal plaats vinden(startend van voor de audit zodat er minimaal 3 per controleaudit aanwezig zijn).
Het monster moet een betrouwbare weergave (representatief) zijn.
Voor de beoordeling kan gebruik gemaakt worden van een mal met indicatie van de grootte (Bijlage 5).
4.3.4 Proces afzet vernietigd archief en datadragers
4.3.4.1 Proces Verkoop vernietigd archief en datadragers
Een procesbeschrijving/procedure voor verantwoorde afzet van vernietigd archief en datadragers moet zijn vastgelegd.
(het materiaal mag niet worden hergebruikt als opvul- of verpakkingsmateriaal.)
Mobiele vernietigers die afzetten bij derden dienen hierover van hun afnemer een verklaring te kunnen overleggen.
4.3.5 Proces Interne Audits
Het proces Interne Audits moet zijn vastgelegd.
Artikel 5 Bewijsstukken
Het voldoen aan de in artikel 4 genoemde toelatingsvoorwaarden en de in artikel 12 genoemde verplichtingen kan blijken uit de volgende bescheiden:
• weegbriefjes en andere administratieve documenten;
• contracten;
• afgegeven garantiedocumenten;
• planningsdocumenten;
• facturen aan toeleveranciers van aangeboden archief en datadragers;
• facturen aan afnemers;
• personeels- en opleidingsgegevens;
• identiteitsbewijzen;
• een door de Kamer van Koophandel afgegeven en gewaarmerkt uittreksel uit het handelsregister;
• leveringsvoorwaarden;
• financiële gegevens;
• verzekeringspolissen;
• vergunningen;
• procedures en instructies;
• keuringsrapporten;
• logboeken;
• procesbeschrijvingen;
• (interne) auditverslagen;
• etc.
Artikel 6 Duur van de erkenning
1. De inschrijving als deelnemer geschiedt voor drie jaar.
2. Een maal per drie jaar voert de erkennende instantie een certificeringsaudit uit. In de volgende twee jaren worden controles uitgevoerd. Voor deelnemers met meerdere locaties (bijvoorbeeld een vernietigingslocatie en meerdere inzamellocaties) is een certificatieschema opgesteld.(Bijlage 1).
Artikel 7 Weigeringsgronden
Het certificaat wordt geweigerd indien niet wordt voldaan aan de in artikel 4 genoemde toelatingsvoorwaarden.
Artikel 8 Inwerkingtreding Certificeringsregeling
1. De Certificeringsregeling treedt in werking na ondertekening van de deelnemingsovereenkomst tussen de aanvrager en de erkennende instantie (VPGI).
2. Als bewijs van certificering geldt inschrijving in het Register van Gecertificeerde Archief- en data vernietigingsondernemingen.
Artikel 9 Doorhalen van de inschrijving
Doorhaling van de inschrijving als deelnemer door de erkennende instantie (VPGI) vindt plaats:
1. na het faillissement van de deelnemer;
2. na het beëindigen van de bedrijfsactiviteiten;
3. op verzoek van de deelnemer;
4. indien de door de deelnemer verschuldigde inschrijf- en deelnamekosten niet zijn voldaan;
5. indien de deelnemer naar het oordeel van de erkennende instantie niet langer voldoet aan de voorwaarden, genoemd in artikel 4 en 12;
6. na het verstrijken van de termijn van certificering, en het niet tijdig aanvragen van herkeuring bij de VPGI (minimaal één maand vóór het verstrijken van de certificeringstermijn, brengt de VPGI de deelnemer schriftelijk op de hoogte van het verstrijken van de certificeringstermijn);
7. bij einde OPK certificaat.
Artikel 10 Indiening aanvraag
1. Een aanvraag wordt ingediend bij de erkennende instantie (VPGI) op een daartoe vastgesteld formulier.
2. Het formulier is ondertekend door degene die blijkens het handelsregister bevoegd is de onderneming volledig te vertegenwoordigen.
3. Bij de indiening van de aanvraag zijn tevens de in het formulier vermelde bewijsstukken bijgevoegd.
4. Door de indiening van de aanvraag verklaart de aanvrager bekend te zijn met de inhoud van de Certificeringsregeling en de verplichtingen, als vermeld in artikel 12, vanaf het moment waarop de certificering is verleend te zullen nakomen.
5. Op een aanvraag wordt door VPGI binnen drie maanden beslist.
Artikel 11 Rechten
De deelnemer heeft recht op:
• inschrijving als deelnemer in het Register van Gecertificeerde Archiefvernietigings-bedrijven;
• het uitdragen van het voor de Certificeringsregeling gehanteerde, wettig gedeponeerde, collectieve beeldmerk;
• de bescherming van de waarde van het voor de Certificeringsregeling gehanteerde, wettig gedeponeerde, collectieve beeldmerk tegen inbreuken door derden;
• ondersteuning bij het uitdragen van de waarde van het beeldmerk;
vermelding als gecertificeerd archief- en datavernietigingsonderneming op/via de website van CA+ (xxxx://xxx.xxxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxx.xx) met vermelding van de materiaalsoorten en vernietigingsklassen.
• het CA+ certificaat.
Artikel 12 Verplichtingen
1. Teneinde de certificering te behouden dient de onderneming aan de toelatingsvoorwaarden, genoemd onder artikel 4 te blijven voldoen.
2. De deelnemer is verplicht om desgevraagd aan de erkennende instantie de gegevens te verstrekken die nodig zijn ter beoordeling van de vraag of de deelnemer voldoet aan de voorwaarden gesteld bij of krachtens de Certificeringsregeling.
3. De deelnemer is verplicht zich te onderwerpen aan controles en onderzoeken door of vanwege de erkennende instantie.
4. De deelnemer is verplicht een wijziging in de voor het recht op certificering van belang zijnde gegevens binnen twee weken te melden aan de erkennende instantie.
5. De onderneming draagt het beeldmerk op passende wijze uit, binnen de door de FNOI aangegeven richtlijnen.
6. De onderneming dient uitvoering te geven aan een uitspraak van een onherroepelijk besluit van de certificatiemanager van de erkennende instantie (VPGI).
Artikel 13 Klachten
Een ieder kan een klacht indienen bij de erkennende instantie over het niet nakomen van de verplichtingen als genoemd in artikel 12.
Artikel 14 Controle
De erkennende instantie onderzoekt of de deelnemer de uit de deelnemingsovereenkomst voortvloeiende verplichtingen nakomt. VPGI beschikt daartoe over gekwalificeerde beoordelaars, die de deelnemer een maal per drie jaar bezoeken voor een certificeringsonderzoek en tijdens de twee navolgende jaren een controle uitvoeren. De bevindingen worden gerapporteerd aan de certificatiemanager van de erkennende instantie (VPGI).
Voor de onaangekondigde controleonderzoeken worden jaarlijks een aantal bedrijven geselecteerd. Deze tussentijdse onaangekondigde controle zal plaatsvinden op speerpunten die vooraf worden vastgesteld en gecommuniceerd.
De vervolgkosten van een onaangekondigd controleonderzoek zijn voor rekening van desbetreffende deelnemer. Het onaangekondigde controleonderzoek vervangt de eerstvolgende reguliere controle.
Artikel 15 Sancties en tenuitvoerlegging
1. Indien door VPGI wordt vastgesteld dat de deelnemer zich niet of onvoldoende dan wel niet aantoonbaar houdt aan hetgeen in artikel 4 en 12 is bepaald, dan kan de deelnemer dwingend door VPGI worden opgedragen de tekortkoming binnen een bepaalde termijn ongedaan te maken. De termijn hiervoor is afhankelijk van de ernst van de overtreding en van de situatie van de deelnemer. In de regel zal de termijn binnen uiterlijk drie maanden na het constateren gesteld worden.
2. VPGI kan de deelnemer als sanctie opleggen de opschorting of doorhaling van de inschrijving, waaraan door VPGI bekendheid wordt gegeven met vermelding van de bepaling van de Erkenningsregeling waarop de opschorting of doorhaling is gebaseerd.
3. Bij gebleken onjuistheid van door de aanvrager verstrekte gegevens, welke van direct belang worden geacht voor afgifte van de certificering, wordt de certificering met onmiddellijke ingang ingetrokken. Hiervan wordt melding gemaakt in het periodiek van de FNOI.
4. VPGI is belast met de tenuitvoerlegging van de sancties.
Artikel 16 Bezwaar
1. Een aanvrager kan bij VPGI binnen dertig dagen bezwaar maken tegen een besluit tot weigering van de certificering als bedoeld in artikel 7.
2. Een deelnemer kan bij de VPGI bezwaar maken tegen:
a. een besluit tot doorhaling van de inschrijving op grond van artikel 9 h. en artikel 15, tweede lid;
b. een aan de certificering verbonden beperking, voorwaarde of voorschrift;
c. een door de VPGI opgelegde sanctie als bedoeld in artikel 15, eerste lid.
3. Een bezwaar dient schriftelijk en met redenen omkleed te worden ingediend.
4. De VPGI zal na ontvangst van het bezwaar binnen vijf dagen een ontvangstbevestiging aan de deelnemer sturen en binnen dertig dagen zorg dragen voor afhandeling van het bezwaar.
5. Bezwaren ten aanzien van de handelwijze van VPGI zullen door de certificatiemanager van VPGI, aangevuld met een bestuurslid van de FNOI, worden behandeld.
Artikel 17 Het Register
1. Onmiddellijk na de inwerkingtreding van een erkenning neemt VPGI de deelnemer op in het Register van Gecertificeerde Archiefvernietigingsbedrijven.
Het Register bevat de volgende gegevens:
• de naam van de onderneming van de deelnemer, alsmede indien deze hiervan verschilt, de handelsnaam waaronder de archief- en datavernietigingsonderneming wordt uitgeoefend;
• het adres en de plaats van de archief- en datavernietigingsonderneming van de deelnemer waar inzameling en/of vernietiging van vertrouwelijk archief en datadragers wordt uitgeoefend, alsmede de naam van de gemeente waartoe de plaats behoort;
• het telefoon- en faxnummer, alsmede eventueel e-mail adres en web adres van de onderneming;
• de datum van de eerste inschrijving;
• met vermelding van de bedrijfsactiviteiten die onder het certificaat vallen, alsmede de locaties die onder het certificaat vallen.
• de vernietigingsklasse waarin de aanvrager dagelijks produceert.
2. Het Register is openbaar en ligt voor een ieder ter inzage bij VPGI. Een afschrift ervan bevindt zich bij de FNOI. VPGI bepaalt op welke wijze de gegevens beschikbaar kunnen worden gesteld.
3. Tenminste eenmaal per jaar draagt VPGI zorg voor de publicatie van een overzicht van deelnemers.
Artikel 18 Inwerkingtreding
De Certificeringsregeling treedt in werking met ingang van 1 juli 2014.
Artikel 19 Aansprakelijkheid
VPGI is op geen enkele wijze aansprakelijk voor eventuele schade van aanvragers of deelnemers voortvloeiende uit of verband houdende met de uitvoering van de Certificeringsregeling.
Artikel 20 Publicatie
1. Een afschrift van de Certificeringsregeling ligt ter inzage bij de FNOI.
2. Desgevraagd verstrekt VPGI een afschrift van de Certificeringsregeling.
3. Ter gelegenheid van de eerste inschrijving ontvangt de deelnemer een afschrift van de Certificeringsregeling. Xxxxxx zijn inschrijving voortduurt ontvangt de deelnemer bericht over de wijzigingen van de Certificeringsregeling.
4. De checklist bijbehorende bij deze Certificeringsregeling wordt ter beschikking gesteld aan de aanvrager na aanlevering van een getekend aanvraagformulier.
Artikel 21 Naam van de Certificeringsregeling
De Certificeringsregeling kan worden aangehaald als: Certificeringsregeling Archief- en datavernietiging CA+
Bijlage 1; Certificatieschema
1. Algemeen
Aanvraag en deelneming
Een onderneming die gecertificeerd wenst te worden volgens de Certificeringsregeling Archief- en datavernietiging kan dit kenbaar maken aan de certificerende instelling (VPGI) via het aanmeldingsformulier. Op basis van de verstrekte informatie stuurt de VPGI een deelnemingsovereenkomst aan de aanvrager. Bij ondertekening door beide partijen is een overeenkomst afgesloten voor de certificeringstermijn van drie jaar.
Auditcyclus
Eens in de drie jaar wordt een certificeringsonderzoek uitgevoerd waarin alle eisen uit de Certificeringsregeling worden getoetst. Op basis van de uitkomst kan de onderneming in aanmerking komen voor CA+.
In de tussenliggende twee jaren wordt een controle uitgevoerd. Deze controle wordt uitgevoerd op een na overleg met de deelnemer vastgestelde datum.
Hierin worden op basis van een steekproef een aantal onderdelen van de Certificeringsregeling getoetst. Bovendien wordt de inzamellocatie bezocht (bij meerdere inzamellocaties worden deze verdeeld over de jaren) en een inzameling bij een klant gecontroleerd.
Uit het certificeringsonderzoek en de jaarlijkse controles kunnen corrigerende maatregelen voortvloeien die de onderneming binnen een bepaalde termijn opgelost moet hebben. Bij meerdere en/of ingrijpende corrigerende maatregelen kan een extra controle worden voorgeschreven.
Geldigheidsduur certificaat
Een certificaat wordt afgegeven voor de periode van 3 jaar. Ter illustratie:
2014 | 2015 | 2016 |
Certificeringsonderzoek | 1e Controleonderzoek | 2e Controleonderzoek |
Geldigheidsduur Certificaat CA+ |
2. Tijdsinvestering en kosten van certificering
Een certificaat voor CA+ kan worden afgegeven voor de volgende situaties:
• 1 archiefvernietigings- en inzamellocatie (dezelfde locatie)
• 1 archiefvernietigings- en inzamellocatie met 1 tot 3 andere inzamellocaties
• 1 archiefvernietigings- en inzamellocatie met 4 of meer andere inzamellocaties.
Voorwaarde hierbij is dat op de inzamellocaties dezelfde activiteiten worden uitgevoerd. Per inzamellocatie wordt tijdens het certificeringsonderzoek en de jaarlijkse controle de fysieke inzameling bij één klant beoordeeld.
De tijdsbesteding en kosten voor certificering staan in de volgende tabel.
Type onderzoek Tijdsbesteding in dagdelen Kosten
Situatie A.
1 archiefvernietigings- en inzamellocatie (dezelfde locatie)
Op locatie
Rapportage en afwikkeling
Certificeringsonderzoek 0,5 0,5 € 995,-
Jaarlijkse controle 0,25 0,25 € 495,-
Situatie B.
1 archiefvernietigings- en inzamellocatie met 1 tot 3 andere inzamellocaties
Certificeringsonderzoek
(Op de vernietigingslocatie en op 1 van de inzamellocaties)
Jaarlijkse controle
(Op de vernietigingslocatie en op 1 van de inzamellocaties)
0,75 0,5 € 1225,-
0,5 0,25 € 735,-
Situatie C.
1 archiefvernietigings- en inzamellocatie met 4 of meer andere inzamellocaties
Certificeringsonderzoek
(Op de vernietigingslocatie en op 2 van de inzamellocaties)
Jaarlijkse controle
(Op de vernietigingslocatie en op 2 van de inzamellocaties)
1 0,5 € 1470,-
0,75 0,25 € 995,-
3. Combinatie met OPK
Indien een certificeringsonderzoek gelijktijdig met een toetsing in het kader van de Erkenningsregeling oudpapier en karton (OPK) plaats vindt, worden de kosten van het certificeringsonderzoek verhoogd met € 495,-. (Het huidige prijsniveau 2014 van de OPK toetsingen is € 995,-)
Eventuele aanpassingen in de Erkenningsregeling OPK (mogelijke herziening) en in het daarbij behorende certificatieschema zijn hierbij voorbehouden.
4. Afwijkende situaties
Voor alle hiervan afwijkende situaties wordt door de VPGI een passend certificatieschema opgesteld.
Bijlage 2; Kruisverwijzing tussen Toelatingsvoorwaarden en Checklist CA+
Normtekst | Checklist | Gewijzigd in 2014 | Nieuw in 2014 |
Artikel | artikel | artikel | artikel |
4.1 Toelatingsvoorwaarden Voorwaarden en Grondbeginselen | |||
4.1.1 | |||
4.1.2 Mobiele vernietiging | 4.1.2 | X | |
4.1.3 College Bescherming Persoonsgegevens | 4.1.3 A B C | X | |
4.1.4 Vernietigingsklasse | 4.1.4 | X | |
4.1.5 Aanbieden Communicatie naar klant | X | ||
4.1.5.1 Procesbeschrijving aan klant | 4.1.5.1 ABCD | X | |
4.1.5.2 Garantiedocument | 4.1.5.2 ABCDEFGHI | X | |
4.1.5.3 Overdracht van verantwoordelijkheid | 4.1.5.3 | ||
4.1.6 Vergunningen | X | ||
4.1.6.1 Eisen Wet Milieubeheer/Activiteitenbesluit | 4.1.6 AB | X | |
4.1.7.1 ABCDEFG | X | ||
4.1.8 Procesbeschrijving | 4.1.8 ABCDEF | X | |
4.1.9 Calamiteitenprocedure | |||
4.1.9.1 Handelswijze bij calamiteiten | 4.1.9.1 ABCD | X | |
4.1.9.2 Uitwijkmogelijkheden bij calamiteiten | 4.1.9.2 ABC | X | |
4.1.9.3 AB | X | ||
4.1.9.4 Informeren van management door medewerkers | 4.1.9.4 | X | |
4.2 Toelatingsvoorwaarden Middelen, Voorzieningen & Controle | X | ||
4.2.1 Inzamelmiddelen | 4.2.1 AB | ||
4.2.2 Overbrengingsmiddelen | |||
4.2.3.1 Afgesloten transportvoertuigen | 4.2.3.1 A | ||
4.2.3.2 Opbouw transportvoertuig | 4.2.3.1 B | ||
4.2.3.3 Toegangsopeningen transportvoertuigen | 4.2.3.2 / 4.2.3.3 | ||
4.2.3.4 Afsluiten transportmiddelen | 4.2.3.4 | ||
4.2.3.5 GPS of bemanning | 4.2.3.5 AB | X | |
4.2.4 Lossen / Overdracht | |||
4.2.4.1 Aanleveringslocatie | 4.2.4 AB | X | |
4.2.5 Archiefvernietigingsruimte | 4.2.5 A | X | |
4.2.5.1 Gebouwen / Vernietigingsruimte | 4.2.5 B | X | |
4.2.5.2 Afsluitbaarheid | 4.2.5.2 ABC | ||
4.2.5.3 Toegankelijkheid | 4.2.5.3 | ||
4.2.5.4 Inbraak - Alarminstallatie | 4.2.5.4 AB | X | |
4.2.5.5 Camerabewaking | 4.2.5.5 AB | ||
4.2.5.6 Capaciteit | 4.2.5.6 | ||
4.2.6 Vernietiger | 4.2.6.1 AB | ||
4.2.6.1 Onderhoud / Logboeken | 4.2.6.1 C | X | |
4.2.6.2 Technische vernietigingseisen machine | 4.2.6.2 | X | |
4.2.7 Vernietigd archief en datadragers | |||
4.2.7.1 Laden vernietigd archief en datadragers | 4.2.7.1 AB | ||
4.2.7.2 Controle vernietigd archief en datadragers | 4.2.7.2 AB | X | |
4.2.7.3 Mengen vernietigd archief en datadragers | 4.2.7.3 | X | |
4.2.8 Interne Audits / Controle | 4.2.8 AB | X | |
4.2.8.1 Opstallen / opbouw | 4.2.8.1 ABC | X | |
4.2.8.2 Afsluitbaarheid | 4.2.8.2 AB | X | |
4.2.8.3 Toegankelijkheid | 4.2.8.3 | X | |
4.2.8.4 Alarminstallatie | 4.2.8.4 | X | |
4.2.8.5 Camerabewaking | 4.2.8.5 AB | X | |
4.3 Toelatingsvoorwaarden Processtappen | X | ||
4.3.1 Aanbieden / Inzamelen | |||
4.3.1.1 Inzamelingsprocedure | 4.1.5.1 AB | X | |
4.3.1.2 Vernietigingsprocedure | 4.1.5.1 AB | X | |
4.3.1.3 Controleprocedure inzamelmiddelen | 4.3.1.3 AB | ||
4.3.1.4 Overdracht verantwoordelijkheid | 4.1.5.3 / 4.3.1.4 AB | X | |
4.3.1.5 Transport | 4.3.1.5 ABC | ||
4.3.1.6 Gelijkwaardige behandeling | 4.3.1.6 ABC | X | |
4.3.1.7 Vernietigingstermijn | 4.3.1.7 ABCD | X | |
4.3.2 AO/IC Verantwoordelijkheid en Bevoegdheid | |||
4.3.2.1 Verantwoordelijkheid leeghalen containers | 4.3.2.1 AB | X | |
4.3.2.2 Wegen en Registreren | 4.3.2.2 | ||
4.3.2.3 Controle vernietigingsklasse | 4.3.2.3 ABCDEFGHI | X | |
4.3.2.4 Verantwoordelijke vernietigingsproces | 4.3.2.4 | ||
4.3.2.5 Naspeurbaarheid ontvangen volumes | 4.3.2.5 AB | X | |
4.3.2.6 Screening medewerkers /Verklaring Omtrent het Gedrag | 4.3.2.6 ABCDEFG | X | |
4.3.2.7 Geheimhoudingsverklaring | 4.3.2.7 | ||
4.3.2.8 Personeelsinstructie | 4.3.2.8 | X | |
4.3.2.9 Chauffeurs | 4.3.2.9 AB | ||
4.3.2.10 Bezoekers | 4.3.2.10 ABC | ||
4.3.2.11 CCTV installatie | 4.3.2.11 | X | |
4.3.3 Proces vernietiging | |||
4.3.3.1 Controle volledige vernietiging archief en datadragers | 4.3.3.1 ABC | X | |
4.3.3.2 Controle conform vernietigingsklasse | 4.3.3.2 | X | |
4.3.3.3 Optische en Zeef analyse | 4.3.3.3 ABC | X | |
4.3.4 Proces afzet vernietigd archief en datadragers | |||
4.3.4.2 Proces Verkoop vernietigd archief en datadragers | 4.3.4.1 AB | X | |
4.3.5 Proces Interne Audits | 4.3.5 | X |
De gemarkeerde artikelen zijn gewijzigd ten opzichte van de vorige versie van deze Certificeringsregeling Archief- en datavernietiging
Bijlage 3; Kruisverwijzing tussen Checklist en Toelatingsvoorwaarden CA+
Checklist Artikel | Normtekst Artikel |
4.1 Toelatingsvoorwaarden Voorwaarden en Grondbeginselen | |
4.1.1 | |
4.1.2 | 4.1.2 Mobiele vernietiging |
4.1.3 A B C | 4.1.3 College Bescherming Persoonsgegevens |
4.1.4 | 4.1.4 Vernietigingsklasse |
4.1.5 Aanbieden Communicatie naar klant | |
4.1.5.1 ABCD | 4.1.5.1 Procesbeschrijving aan klant |
4.1.5.2 ABCDEFGHI | 4.1.5.2 Garantiedocument |
4.1.5.3 | 4.1.5.3 Overdracht van verantwoordelijkheid |
4.1.6 Vergunningen | |
4.1.6 AB | 4.1.6.1 Eisen Wet Milieubeheer/Activiteitenbesluit |
4.1.7.1 ABCDEFG | |
4.1.8 ABCDEF | 4.1.8 Procesbeschrijving |
4.1.9 Calamiteitenprocedure | |
4.1.9.1 ABCD | 4.1.9.1 Handelswijze bij calamiteiten |
4.1.9.2 ABC | 4.1.9.2 Uitwijkmogelijkheden bij calamiteiten |
4.1.9.3 AB | |
4.1.9.4 | 4.1.9.4 Informeren van management door medewerkers |
4.2 Toelatingsvoorwaarden Middelen, Voorzieningen & Controle | |
4.2.1 AB | 4.2.1 Inzamelmiddelen |
4.2.2 Overbrengingsmiddelen | |
4.2.3.1 A | 4.2.3.1 Afgesloten transportvoertuigen |
4.2.3.1 B | 4.2.3.2 Opbouw transportvoertuig |
4.2.3.2 / 4.2.3.3 | 4.2.3.3 Toegangsopeningen transportvoertuigen |
4.2.3.4 | 4.2.3.4 Afsluiten transportmiddelen |
4.2.3.5 AB | 4.2.3.5 GPS of bemanning |
4.2.4 Lossen / Overdracht | |
4.2.4 AB | 4.2.4.1 Aanleveringslocatie |
4.2.5 A | 4.2.5 Archiefvernietigingsruimte |
4.2.5 B | 4.2.5.1 Gebouwen / Vernietigingsruimte |
4.2.5.2 ABC | 4.2.5.2 Afsluitbaarheid |
4.2.5.3 | 4.2.5.3 Toegankelijkheid |
4.2.5.4 AB | 4.2.5.4 Inbraak - Alarminstallatie |
4.2.5.5 AB | 4.2.5.5 Camerabewaking |
4.2.5.6 | 4.2.5.6 Capaciteit |
4.2.6.1 AB | 4.2.6 Vernietiger |
4.2.6.1 C | 4.2.6.1 Onderhoud / Logboeken |
4.2.6.2 | 4.2.6.2 Technische vernietigingseisen machine |
4.2.7 Vernietigd archief en datadragers | |
4.2.7.1 AB | 4.2.7.1 Laden vernietigd archief en datadragers |
4.2.7.2 AB | 4.2.7.2 Controle vernietigd archief en datadragers |
4.2.7.3 | 4.2.7.3 Mengen vernietigd archief en datadragers |
4.2.8 AB | 4.2.8 Interne Audits / Controle |
4.2.8.1 ABC | 4.2.8.1 Opstallen / opbouw |
4.2.8.2 AB | 4.2.8.2 Afsluitbaarheid |
4.2.8.3 | 4.2.8.3 Toegankelijkheid |
4.2.8.4 | 4.2.8.4 Alarminstallatie |
4.2.8.5 AB | 4.2.8.5 Camerabewaking |
4.3 Toelatingsvoorwaarden Processtappen | |
4.3.1 Aanbieden / Inzamelen | |
4.1.5.1 AB | 4.3.1.1 Inzamelingsprocedure |
4.1.5.1 AB | 4.3.1.2 Vernietigingsprocedure |
4.3.1.3 AB | 4.3.1.3 Controleprocedure inzamelmiddelen |
4.3.1.4 AB / 4.1.5.3 | 4.3.1.4 Overdracht verantwoordelijkheid |
4.3.1.5 ABC | 4.3.1.5 Transport |
4.3.1.6 ABC | 4.3.1.6 Gelijkwaardige behandeling |
4.3.1.7 ABCD | 4.3.1.7 Vernietigingstermijn |
4.3.2 AO/IC Verantwoordelijkheid en Bevoegdheid | |
4.3.2.1 AB | 4.3.2.1 Verantwoordelijkheid leeghalen containers |
4.3.2.2 | 4.3.2.2 Wegen en Registreren |
4.3.2.3 ABCDEFGHI | 4.3.2.3 Controle vernietigingsklasse |
4.3.2.4 | 4.3.2.4 Verantwoordelijke vernietigingsproces |
4.3.2.5 AB | 4.3.2.5 Naspeurbaarheid ontvangen volumes |
4.3.2.6 ABCDEFG | 4.3.2.6 Screening medewerkers /Verklaring Omtrent het Gedrag |
4.3.2.7 | 4.3.2.7 Geheimhoudingsverklaring |
4.3.2.8 | 4.3.2.8 Personeelsinstructie |
4.3.2.9 AB | 4.3.2.9 Chauffeurs |
4.3.2.10 ABC | 4.3.2.10 Bezoekers |
4.3.2.11 | 4.3.2.11 CCTV installatie |
4.3.3 Proces vernietiging | |
4.3.3.1 ABC | 4.3.3.1 Controle volledige vernietiging archief en datadragers |
4.3.3.2 | 4.3.3.2 Controle conform vernietigingsklasse |
4.3.3.3 ABC | 4.3.3.3 Optische en Zeef analyse |
4.3.4 Proces afzet vernietigd archief en datadragers | |
4.3.4.1 AB | 4.3.4.2 Proces Verkoop vernietigd archief en datadragers |
4.3.5 | 4.3.5 Proces Interne Audits |
Bijlage 4; Hoofdlijnen Vernietigingsklassen DIN66399
Bijlage 5; Mal met vernietigingsklasse Papier P-1
P 3
P 2
P 1
P 7
OPPERVLAKTE ≤2.000 MM2
P
P 6
5
OPPERVLAKTE
≤ 800 MM2
OPPERVLAKTE
≤ 320 MM2
OPPERVLAKTE
≤ 160 MM2 P
P 5
4
P 7
P P
3 2
P 1
P
6
P 4
OPPERVLAKTE ≤2.000 MM2
OPPERVLAKTE ≤800 MM2
OPPERVLAKTE ≤320 MM2
OPPERVLAKTE ≤30 MM2 OPPERVLAKTE ≤10 MM2
OPPERVLAKTE ≤5 MM2
BREEDTE MAXIMAAL 44,7 MM
LENGTE MAXIMAAL 44,7 MM
OPPERVLAKTE ≤160 MM2
OPPER VLAKTE
≤ 30 MM2
OPPER VLAKTE
≤ 10 MM2
OPPER VLAKTE
P
1
≤ 5 MM2
OPPERVLAKTE
≤2.000 MM2
HOOGTE MAXIMAAL 40 MM
P 1
OPPERVLAKTE
≤2.000 MM2
BREEDTE MAXIMAAL 50 MM
DIAMETER MAXIMAAL 50,46 MM
P GELIJKE ZIJDEN
1 MAXIMAAL 35 MM
OPPERVLAKTE
≤2.000 MM2
P 1
= P1
OPPERVLAKTE
≤2.000 MM2
GELIJKE ZIJDEN MAXIMAAL 50 MM
= P2
= P3
= P4
STROOKBREEDTE MAXIMAAL 12 MM
STROOKLENGTE ONBEPERKT
(Tot MAX. 2.000 MM2)
= P5
= P6
= P7
Deze mal geeft een indicatie van de grootte en is geen gekalibreerd meetmiddel.
Bijlage 6; P Gegevensbeschrijving in origineelformaat o.a. Papier
Tabel 1 | gegevensbeschrijving in Origineelformaat bijvoorbeeld: Papier, Film, Drukvormen | |
Vernietigingsklasse | Hoedanigheid/gesteldheid (conditie), vorm en grootte na de vernietiging | Tolerantie |
P-1 | materiaaldeeloppervlakte ≤ 2.000mm2 of Strookbreedte ≤ 12,0 mm Strooklengte niet beperkt | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 3800mm2 groot zijn |
P-2 | materiaaldeeloppervlakte ≤ 800mm2 of Strookbreedte ≤ 6,0 mm Strooklengte niet beperkt | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 2000mm2 groot zijn |
P-3 | materiaaldeeloppervlakte ≤ 320mm2 of Strookbreedte ≤ 2,0 mm Strooklengte niet beperkt | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 800mm2 groot zijn |
P-4 | materiaaldeeloppervlakte ≤ 160mm2 en voor constante deeltjes Strookbreedte ≤ 6,0 mm | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 480mm2 groot zijn |
P-5 | materiaaldeeloppervlakte ≤ 30mm2 en voor constante deeltjes Strookbreedte ≤ 2,0 mm | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 90mm2 groot zijn |
P-6 | materiaaldeeloppervlakte ≤ 10mm2 en voor constante deeltjes Strookbreedte ≤ 1,0 mm | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 30mm2 groot zijn |
P-7 | materiaaldeeloppervlakte ≤ 5mm2 en voor constante deeltjes Strookbreedte ≤ 1,0 mm of Oplossen met materiaaldeeloppervlakte van ≤ 5mm2 of As verkleind met materiaaldeeloppervlakte ≤ 5mm2 | Materiaaldeeloppervlakte mag niet overschreden worden |
Bijlage 7; F Gegevensbeschrijving verkleind o.a. Microfilm
Tabel 2 | gegevensbeschrijving in Origineelformaat bijvoorbeeld: Microfilm | |
Vernietigingsklasse | Hoedanigheid/gesteldheid (conditie), vorm en grootte na de vernietiging | Tolerantie |
F-1 | materiaaldeeloppervlakte ≤ 160mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 480mm2 groot zijn |
F-2 | materiaaldeeloppervlakte ≤ 30 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 90mm2 groot zijn |
F-3 | materiaaldeeloppervlakte ≤ 10 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 30mm2 groot zijn |
F-4 | materiaaldeeloppervlakte ≤ 2,5 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 7,5 mm2 groot zijn |
F-5 | materiaaldeeloppervlakte ≤ 1,0 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 3 mm2 groot zijn |
F-6 | materiaaldeeloppervlakte ≤ 0,5 mm2 of As verkleind ≤ 0,5 mm | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 1,5 mm2 groot zijn |
F-7 | materiaaldeeloppervlakte ≤ 0,2 mm2 of As verkleind ≤ 0,2 mm of oplossen | Materiaaldeeloppervlakte mag niet overschreden worden |
gegevensweergave verkleint bijvoorbeeld: CD / DVD | ||
Vernietigingsklasse | Hoedanigheid/gesteldheid (conditie), vorm en grootte na de vernietiging | Tolerantie |
O-1 | materiaaldeeloppervlakte ≤ 2 000mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 3 800 mm2 groot zijn |
O-2 | materiaaldeeloppervlakte ≤ 800 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 2 000mm2 groot zijn |
O-3 | materiaaldeeloppervlakte ≤ 160 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 480mm2 groot zijn |
O-4 | materiaaldeeloppervlakte ≤ 30 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 90 mm2 groot zijn |
O-5 | materiaaldeeloppervlakte ≤ 10 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 30 mm2 groot zijn |
O-6 | materiaaldeeloppervlakte ≤ 0,5 mm2 of As verkleind ≤ 0,5 mm of Smeltproduct | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 15 mm2 groot zijn |
O-7 | materiaaldeeloppervlakte ≤ 0,2 mm2 of As verkleind ≤ 0,2 mm of Smeltproduct | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschrijden, doch ten hoogste 0,6 mm2 groot zijn |
gegevensweergave op magnetische datadragers bijvoorbeeld: diskettes, ID kaarten, cassettebandjes | ||
Vernietigingsklasse | Hoedanigheid/gesteldheid (conditie), vorm en grootte na de vernietiging | Tolerantie |
T-1 | medium mechanisch gebruiksonklaar | |
T-2 | materiaaldeeloppervlakte ≤ 2 000 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 3 800mm2 groot zijn |
T-3 | materiaaldeeloppervlakte ≤ 320 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 800mm2 groot zijn |
T-4 | materiaaldeeloppervlakte ≤ 160 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 480 mm2 groot zijn |
T-5 | materiaaldeeloppervlakte ≤ 30 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 90 mm2 groot zijn |
T-6 | materiaaldeeloppervlakte ≤ 010 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 30 mm2 groot zijn |
T-7 | materiaaldeeloppervlakte ≤ 2,5 mm2 of As verkleind ≤ 2,5 mm of Smeltproduct | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 7,5 mm2 groot zijn |
gegevensweergave op harde schijven met magnetische datadragers | ||
Vernietigingsklasse | Hoedanigheid/gesteldheid (conditie), vorm en grootte na de vernietiging | Tolerantie |
H-1 | harde schijf mechanisch / elektronisch gebruiksonklaar | |
H-2 | datadrager beschadigd | |
H-3 | datadrager vervormd | |
H-4 | datadrager meervoudig in stukken verdeeld en vervormt en materiaaldeeloppervlak ≤ 2 000 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 3 800 mm2 groot zijn |
H-5 | datadrager meervoudig in stukken verdeeld en vervormt en materiaaldeeloppervlak ≤ 320 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 800 mm2 groot zijn |
H-6 | datadrager meervoudig in stukken verdeeld en vervormt en materiaaldeeloppervlak ≤ 10 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 30 mm2 groot zijn |
H-7 | datadrager meervoudig in stukken verdeeld en vervormt en materiaaldeeloppervlak ≤ 5 mm2 of verhitten boven Curietemperatuur | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 15 mm2 groot zijn |
gegevensweergave op elektronische datadragers bijvoorbeeld: Geheugenkaarten, Chipkaarten, Printplaten, mobiele communicatiemiddelen | ||
Vernietigingsklasse | Hoedanigheid/gesteldheid (conditie), vorm en grootte na de vernietiging | Tolerantie |
E-1 | medium mechanisch / elektronisch gebruiksonklaar | |
E-2 | medium verdeeld | |
E-3 | medium verdeeld en materiaaldeeloppervlak ≤ 160 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 480 mm2 groot zijn |
E-4 | datadrager (chip) verdeeld en materiaaldeeloppervlak ≤ 30 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 90 mm2 groot zijn |
E-5 | datadrager (chip) meervoudig in stukken verdeeld en materiaaldeeloppervlak ≤ 10 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 30 mm2 groot zijn |
E-6 | datadrager (chip) meervoudig in stukken verdeeld en materiaaldeeloppervlak ≤ 1 mm2 of As verkleind ≤ 1 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 3 mm2 groot zijn |
E-7 | datadrager (chip) meervoudig in stukken verdeeld en materiaaldeeloppervlak ≤ 0,5 mm2 of As verkleind ≤ 0,5 mm2 | 10% van het materiaal mag de vereiste materiaaldeeloppervlakte overschreiden, doch ten hoogste 1,5 mm2 groot zijn |
Bijlage 12; Voorbeeld veiligheidsconcept samenstellen
Input
Throughput
Output
• Accountmanager contact klant
• Informatie CA+
• Informatie vernietigingsmethode
• DIN 66399(-1 1:2012-10 §3)
• Beschermingsgraad 1
Veiligheidsconcept
Bij klant navragen wat de beschermingsgraad moet zijn.
Klant voert risico inventarisatie uit
• Wat (welk archief en datadrager) PFOTHE
• Hoe (in welke beschermingsgraad en vernietigingsklasse)
• Wie (zelf of dienstverlener)
• Waar (op locatie of naar locatie)
• Hoe (organisatorisch naar vernietigingslocatie)
Normaal bescherming voor interne gegevens:
• Meest gebruikelijke classificatie van informatie en bestemd voor grotere doelgroepen.
• Onrechtmatige verspreiding of openbaarmaking heeft beperkte negatieve uitwerking op de onderneming.
• De bescherming van persoonsgegevens dient gewaarborgd te zijn. Anders bestaat het gevaar dat de betrokkenen (gedupeerde) in zijn functie en in zijn economische/ financiële omstandigheden aangetast wordt / schade ondervindt.
• Vernietigingsklasse 1
• Vernietigingsklasse 2
• Vernietigingsklasse 3
bescherming- Ja graad 1 ok?
• Beschermingsgraad 2
Nee
Hoge bescherming voor vertrouwelijke gegevens;
• Beperking van de informatie binnen kleine groep mensen noodzakelijk.
• Een onrechtmatige verspreiding heeft aanzienlijke (nadelige) uitwerking op de onderneming en kan mogelijk leiden tot in strijd handelen met contractuele
verplichtingen of overtreding van wet en regelgeving.
• De bescherming van peroonsgegevens moet aan hoge eisen voldoen. Anders bestaat het gevaar dat de betrokkene in zijn maatschappelijke functie/positie of in zijn economische/financiële omstandigheden aangetast/geschaad wordt.
• Vernietigingsklasse 3
• Vernietigingsklasse 4
• Vernietigingsklasse 5
bescherming- Ja graad 2 ok?
• Beschermingsgraad 3
Nee
Zeer hoge bescherming voor bijzonder vertrouwelijke en geheime gegevens;
• Beperking van de informatie binnen een zeer kleine kring van bekenden met bevoegdheden vereist.
• Een onrechtmatige verspreiding heeft zeer ernstige (bestaansrechtelijke) uitwerking
op de onderneming en/of zou in strijd handelen met beroepsgeheimen, contractuele
verplichtingen en wet en regelgeving.
• De bescherming van persoonsgegevens moet onbedingd/volledig gewaarborgd zijn. Anders kan het tot een gevaar voor Lijf en Leven of voor de persoonlijke vrijheid van de betrokkenen/gedupeerde leiden.
• Vernietigingsklasse 5
• Vernietigingsklasse 6
• Vernietigingsklasse 7
bescherming- Ja graad 3 ok?
Nee Geen
dienstverlening
Bepalen vernietigingsklasse / materiaalsoort
mogelijk
• Vernietigingsklassen
• Materiaalsoorten PFOTHE
Risico inventarisatie klant
• Beschermingsgraad
• Vernietigingsklasse
• Materiaalsoort
• Risico inventarisatie door klant
• Materiaalsoort
• Vernietigingsklasse
• Inzamelmethode
• Beschermingsgraad
• Overnameprotocol
• Plaats van overname
Meerdere Ja materialen /
klasse?
Nee
Veiligheidsconcept samenstellen
Klant informeren
• Klant geïnformeerd:
• In welke klasse
• Welk materiaal
• Hoe en door wie Xxxxxxxxxx wordt
• En hoe en waar vernietigd wordt