De grootste datarisico’s liggen in de kast

Waarom vergeten hardware vaak gevaarlijker is dan actieve systemen

Cybersecurity krijgt bij veel organisaties veel aandacht. Denk aan firewalls, updates, awareness trainingen. Maar één risico blijft opvallend vaak buiten beeld: afgeschreven ICT-hardware die nog ergens ligt. Een laptop in een kast, een server in een magazijn of een doos oude telefoons onder een bureau. Ze doen niets, staan uit en niemand heeft aandacht voor ze. En juist dát maakt ze gevaarlijk.

Vergeten hardware valt buiten elke controle

Actieve systemen worden gemonitord, geüpdatet en beheerd. Afgeschreven apparatuur niet. Die verdwijnt uit processen, uit dashboards en vaak ook uit verantwoordelijkheden. Niemand logt meer in. Niemand weet nog precies wat erop staat. En niemand voelt zich eigenaar. In de praktijk zien we dat dit soort hardware jarenlang blijft liggen. Soms zelfs nadat medewerkers zijn vertrokken of afdelingen zijn opgeheven. De data reist mee met het apparaat, maar de aandacht niet.

Oude apparaten bevatten vaak méér data dan je denkt

Afgeschreven hardware is zelden leeg. Naast bestanden en e-mails bevatten apparaten vaak:

• opgeslagen gebruikersaccounts


• netwerkconfiguraties


• VPN-gegevens


• lokale back-ups


• toegangsrechten tot systemen

Voor kwaadwillenden zijn deze ‘oude spullen’ potentiële toegangspoorten. “Juist stilstaande hardware is interessant, omdat niemand er meer naar kijkt,” zegt Ming van Reviver. “En wat niet wordt gecontroleerd, wordt onderschat.”

Inactieve hardware is geen veilige situatie

Veel organisaties zien uitstel als een veilige middenweg. We doen er nu niets mee, dus er gebeurt ook niets. Maar dat is een misvatting. Zolang data niet aantoonbaar is verwijderd, blijft de verantwoordelijkheid bestaan. Ook juridisch. De AVG maakt geen onderscheid tussen actieve en inactieve systemen. Persoonsgegevens blijven persoonsgegevens, ongeacht waar ze staan. Dat betekent dat een vergeten laptop in een kast net zo goed onder de wet valt als een productieserver.

Onbekend is onveilig

Wat dit risico extra groot maakt, is dat vergeten hardware vaak ook onbekend is. Er is geen actueel overzicht, inventaris of een eigenaar. En dat maakt reageren lastig. Als er vragen komen vanuit een audit, een datalekmelding of een compliancecheck, is het antwoord vaak: we weten het niet precies. “Dat is het moment waarop onschuldige uitstelbeslissingen ineens grote gevolgen kunnen hebben,” zegt Lennaert van Offenbeek. “Niet omdat mensen nalatig zijn, maar omdat het proces ontbreekt.”

Van vergeten naar gecontroleerd

Het oplossen van dit risico begint bij overzicht. Weten welke hardware er nog is, waar die staat en wat ermee gebeurt. Pas daarna komt de stap van veilige dataverwijdering of vernietiging. Aantoonbaar, gecontroleerd en vastgelegd. Als vast onderdeel van de IT- en facilitaire processen.

Zet die eerste stap

De grootste datarisico’s zijn vaak niet de systemen die draaien, maar de systemen die stilstaan. Apparatuur die buiten beeld is geraakt, maar nog vol data zit. Wie dat serieus neemt, kiest niet voor uitstel, maar voor overzicht en actie. Want wat uit staat, is niet automatisch veilig. Hoe je dit goed regelt? Je hoeft maar één stap te zetten: Reviver bellen.