Dit is een harde ISO-eis. In de praktijk blijkt deze eis echter niet of nauwelijks gevolgd te worden, zeker niet als het om de ‘overige onderzoeksdocumenten’ gaat. Heel begrijpelijk, gezien het feit dat bij nieuwe onderzoekprojecten vaak teruggegrepen wordt op eerder gehouden onderzoeken. Bovendien verwachten veel opdrachtgevers dat hun bureau een soort archieffunctie heeft met betrekking tot eerder gehouden onderzoeken.
Echter, over een aanpassing van de in ISO 20252 genoemde termijnen worden zelden afspraken gemaakt tussen bureau en opdrachtgever. Over dit onderwerp staat evenmin iets vermeld in de MOA Leveringsvoorwaarden die veel bureaus hanteren. Dat betekent dat bureaus in die gevallen formeel verplicht zijn om de genoemde bestanden en documenten te vernietigen na 12 resp. 24 maanden.
Wat betreft de vernietiging van data en documenten moet ook vastgesteld worden dat bureaus daar in de meeste gevallen ruimer mee omgaan dan ISO voorschrijft. Slechts zelden worden data van een bepaald project precies na 12 maanden vernietigd. Als al vernietigd wordt, want in tegenstelling tot de vroegere papieren opslag van documenten vergt digitale opslag geen fysieke ruimte, dus niemand heeft veel ‘last’ van al die opgeslagen data en documenten.
De KCC adviseert de ISO gecertificeerde bureaus om standaard in hun offerte aan te geven hoe lang primaire en overige data worden bewaard. Het meest praktisch is het om daarbij het begrip ‘tenminste’ te hanteren. Bij het vaststellen van de termijn is men niet gebonden aan de ISO eis van 12 resp. 24 maanden, het mag ook langer (of korter, al zal dat zelden gebeuren). Als de opdrachtgever de offerte goedkeurt, heeft hij daarmee ook die door het bureau aangegeven bewaartermijn goedgekeurd, waardoor voldaan wordt aan het gestelde in ISO-paragraaf 4.9.2. Wenst de opdrachtgever een andere bewaartermijn dan moet hij dat melden op het moment van goedkeuring van de offerte. De te hanteren zinsnede zou dan kunnen zijn: ‘Bureau X bewaart de primaire data en andere op dit project betrekking hebbende documenten gedurende een periode van tenminste x maanden’.
Dit geeft het bureau de mogelijkheid om precies na x maanden over te gaan tot vernietiging, maar het maakt het ook mogelijk om de data en/of de documenten langer te bewaren zonder daarvoor de opdrachtgever om toestemming te moeten vragen. Toestemming voor latere vernietiging dan na x maanden is met deze zinsnede eveneens verkregen, al kan het bureau er voor kiezen om nog eens contact met de opdrachtgever op te nemen op het moment dat men de data en documenten van een project van die opdrachtgever daadwerkelijk wil gaan vernietigen.
Uiteraard is het hierbij wel belangrijk dat het bureau zorg draagt voor ‘veilige bewaring’ van de data en documenten zoals omschreven in ISO-paragraaf 4.9.4. Zolang het bureau de data en andere documenten onder haar beheer heeft, blijft het daar ook volledig verantwoordelijk voor.
Verder is het verstandig om intern iemand aan te wijzen die het beheer over oudere opgeslagen data en documenten heeft: het is mogelijk dat de projectleider van een project van10 jaar geleden inmiddels vertrokken is. In dat geval moet ook bij zijn projecten duidelijk zijn wie na zijn vertrek over de toegang tot zijn projectdata beslist.
Kennispartners van Daily Data Bytes
MOA is een
Privacystatement, Cookieverklaring & Disclaimer, MOA© 2022