Het belang van gecertificeerde datavernietiging van harde schijven en gegevensdragers

Wat is gecertificeerde datavernietiging van gegevensdragers?

Gecertificeerde datavernietiging is het gecontroleerde proces waarbij gegevensdragers zoals harde schijven, SSD’s, tapes en USB-sticks volledig en onherstelbaar worden gewist of fysiek vernietigd. Het gaat verder dan simpelweg bestanden verwijderen of apparaten formatteren, omdat gegevens vaak alsnog kunnen worden hersteld.

Verschillende methoden van datavernietiging

Er zijn verschillende manieren om gegevensdragers veilig te vernietigen, elk met zijn eigen voordelen en toepassingen. Hieronder worden de twee meest voorkomende methoden van datavernietiging besproken: fysieke en softwarematige vernietiging.

Fysieke datavernietiging is een directe en onomkeerbare manier om gegevensdragers volledig te vernietigen. Hierbij wordt de datadrager fysiek vernietigd, zodat gegevens onmogelijk kunnen worden hersteld. Hiervoor worden industriële shredders gebruikt die speciaal zijn ontworpen voor het shredden van gegevensdragers. Deze methode is uitermate geschikt voor gegevensdragers die defect, afgeschreven of niet meer bruikbaar zijn.

Softwarematige datavernietiging houdt in dat gegevens op een datadrager worden overschreven met gecertificeerde software. Dit kan in meerdere lagen gebeuren, waarbij de originele data volledig wordt gewist en overschreven volgens gestandaardiseerde processen.

Certificeringen en normen

Fysieke vernietiging: Certificering volgens DIN 66399

DIN 66399 is een internationale standaard die richtlijnen biedt voor de veilige vernietiging van gegevensdragers. Deze norm omvat verschillende niveaus van beveiliging, afhankelijk van de gevoeligheid van de gegevens en het type drager. Certificering volgens DIN 66399 garandeert dat fysieke datavernietiging voldoet aan strikte normen, waardoor gegevens onherstelbaar zijn. Bedrijven kunnen hiermee aantonen dat ze voldoen aan regelgeving zoals de AVG.

Softwarematige en firmware-based datavernietiging: Protocollen conform internationale certificering & richtlijnen

Er zijn verschillende certificeringen die de veilige en onomkeerbare vernietiging van gegevens via software waarborgen:

Certus Software:
– Common Criteria (gecertificeerd product)
– BSI (geaccrediteerd)
– NCSC (gecertificeerd product)
– NATA (geaccrediteerd)
– ADISDA (Product Claim test)

NIST 800-88 Clear, Purge:
– Richtlijnen en protocollen voor de veiligste en gecertificeerde gegevensverwijdering.
– Geschikt voor alle datadragers, inclusief firmware-based wissen.

DoD 5220.22-M:
– Meerdere overschrijvingscycli bij magnetische datadragers, niet geschikt voor Solid State Drives (SSD’s) of Fusion Drives, die een firmware-based wisprotocol vereisen.

CESG CPA:
– Een Britse standaard voor veilige datavernietiging.

GDPR Compliance:
– Garandeert dat de vernietiging van persoonsgegevens voldoet aan de eisen van de AVG.

Waarom is gecertificeerde data vernietiging van gegevensdragers belangrijk?

Bij het verwijderen van gegevens vertrouwen veel bedrijven nog steeds op standaardmethoden, zoals het gebruik van de ‘delete’-knop, formatteren of zelfs het fysiek beschadigen van harde schijven. Hoewel deze handelingen lijken te voldoen, zijn ze vaak ontoereikend en bieden ze geen garantie dat gegevens daadwerkelijk onherstelbaar zijn verwijderd.

Waarom standaardmethoden niet voldoende zijn:

• Delete en formatteren: Het verwijderen of formatteren van een harde schijf verwijdert alleen de verwijzingen naar de gegevens, maar de bestanden zelf blijven fysiek aanwezig en kunnen met recovery-software gemakkelijk worden hersteld.
• Fysiek kapot maken: Het boren van gaten of het slaan op een harde schijf lijkt effectief, maar data kan vaak nog steeds worden uitgelezen door gespecialiseerde tools. SSD’s en tapes zijn zelfs gevoeliger voor deze gebrekkige aanpak.

Risico’s van onveilige dataverwijdering

Gevolgen van het niet naleven van regelgeving rondom datavernietiging
Het niet voldoen aan regelgeving voor veilige datavernietiging kan ernstige gevolgen hebben voor organisaties. Hieronder worden de belangrijkste risico’s toegelicht:

• Hoge boetes: Onder de AVG (GDPR) kunnen datalekken door onzorgvuldige vernietiging resulteren in hoge boetes.
• Reputatieschade: Een datalek door slecht vernietigde gegevens kan het vertrouwen van klanten, partners en medewerkers ernstig schaden.
• Rechtszaken: Bij inbreuken op privacywetten kunnen getroffen individuen of organisaties juridische stappen ondernemen, met mogelijke schadeclaims tot gevolg.
• Bedrijfscontinuïteit: Gevoelige bedrijfsinformatie, zoals strategische plannen of klantgegevens, kan in verkeerde handen vallen, wat leidt tot concurrentienadelen of cybercriminaliteit, zoals identiteitsdiefstal en fraude.
• Niet naleven van de sectorregels: Specifieke sectoren, zoals financiën en gezondheidszorg, stellen strenge eisen aan data vernietiging. Niet voldoen aan deze regels kan aanvullende sancties of uitsluiting van markten opleveren.

Waarom is compliance cruciaal?
Door te voldoen aan regelgeving voor datavernietiging, zoals de AVG of NIST-normen, kunnen organisaties niet alleen boetes en reputatieschade voorkomen, maar ook een sterker imago opbouwen als betrouwbare en veilige partner. Gecertificeerde datavernietiging speelt hierin een essentiële rol.

Voordelen van gecertificeerde datavernietiging

De voordelen van gecertificeerde datavernietiging zijn:

1. Zekerheid
   Certificering biedt gegarandeerde zekerheid dat alle data definitief en onherstelbaar is vernietigd. De gebruikte technieken, zoals overschrijven of fysiek shredden, zorgen ervoor dat herstel onmogelijk is, zelfs met geavanceerde tools. Dit elimineert elk risico op datalekken door achtergebleven data.
2. Aansprakelijkheid
   Door gebruik te maken van gecertificeerde datavernietiging kunnen bedrijven aantonen dat zij voldaan hebben aan wettelijke verplichtingen zoals de AVG. Een certificaat van vernietiging biedt juridisch bewijs dat data correct is vernietigd. Dit beschermt organisaties tegen aansprakelijkheid bij datalekken, aangezien zij kunnen aantonen dat zij zorgvuldig hebben gehandeld bij het afvoeren van gegevensdragers. Dit voorkomt hoge boetes, rechtszaken en reputatieschade.
3. Audit trail
   Een gecertificeerd proces biedt een volledige audit trail, waarin elke stap in de datavernietiging wordt gedocumenteerd. Dit omvat:
   • Serienummers van de vernietigde apparaten.
   • Datum, tijd en locatie van de vernietiging.
   • Gebruikte methoden en certificeringsstandaarden.

Deze documentatie is essentieel bij interne en externe audits om te bewijzen dat datavernietiging op een veilige en conforme manier heeft plaatsgevonden. Het geeft organisaties controle over hun gegevensbeheer en biedt gemoedsrust in het geval van inspecties of geschillen.

Gecertificeerde datavernietiging biedt dus niet alleen veiligheid, maar ook transparantie, juridische bescherming en een proces dat volledig controleerbaar is.

Het proces van gecertificeerde datavernietiging

Stap voor stap:
1. Inventarisatie van de aantallen datadragers en/of data-houdende apparatuur.
2. Ophalen van de datadragers of data-houdende apparatuur.
3. Veiligstellen van de datadragers/data-houdende apparatuur in een beveiligd depot.
4. Datavernietiging vindt plaats conform klantwens (shredden of wipen).

Documentatie:
Bij datadragers die gewiped worden, ontvangt de klant een volledige (Certus) rapportage. Deze rapportage geeft onder andere het volgende aan:
– Serienummer van de datadrager die gewiped is.
– Gegevens/grootte van de datadrager.
– Op welke manier de datadrager gewiped is.
– Tijdstip van het wipen.
– Of de wipe succesvol is geweest.

Bij datadragers die geshredderd worden ontvangt de klant een Certificate of Destruction (COD). Op deze rapportage treft men de volgende gegevens aan:
– Serienummer van de datadrager.
– Gegevens/grootte van de datadrager.
– Persoon die de gegevensdrager heeft geregistreerd en geshredderd.
– Datum van registratie en shredderen.

Verificatie:
De verificatie van datavernietiging is een cruciaal onderdeel van het proces om aan te tonen dat gevoelige gegevens onherroepelijk zijn verwijderd. Dit biedt niet alleen zekerheid aan organisaties, maar ook bewijs van naleving van wet- en regelgeving, zoals AVG (GDPR).