Je data is óf weg, óf niet

Waarom afgeschreven hardware één van de grootste onderschatte risico’s is

Ongebruikte laptops in een kast. Wat oude servers op een pallet. Een doos telefoons in de hoek van het kantoor. Voor veel organisaties voelt afgeschreven ICT-hardware als iets dat “geen prioriteit meer heeft”. En precies dát maakt het zo risicovol. Want zolang data niet aantoonbaar is verwijderd, is het er nog. Ook als het apparaat al maanden of jaren niet meer wordt gebruikt.

Bestanden verwijderen is geen dataverwijdering

Een veelgemaakte misvatting is dat data weg is zodra bestanden zijn verwijderd of een apparaat is gereset. In werkelijkheid gebeurt er dan iets heel anders: de data wordt onzichtbaar, maar niet vernietigd. Met relatief eenvoudige software is die informatie vaak nog terug te halen. Denk aan e-mails, klantgegevens, netwerkconfiguraties of opgeslagen wachtwoorden. Zeker bij laptops en servers die jarenlang zijn gebruikt, kan de hoeveelheid gevoelige data aanzienlijk zijn. Volgens internationale ITAD-richtlijnen en AVG-interpretaties geldt data pas als verwijderd, wanneer deze actief is overschreven of fysiek is vernietigd. Alles daarbuiten is schijnveiligheid.

Stilstand is óók een risico

Wat we in de praktijk veel zien, is dat hardware blijft liggen. Niet uit onwil, maar omdat niemand precies weet wat ermee moet gebeuren of geen tijd heeft om er iets mee te doen. Ondertussen verandert de organisatie. Medewerkers vertrekken, verantwoordelijkheden verschuiven en kennis verdwijnt. Daardoor ontstaat een gevaarlijke situatie. Niemand voelt zich eigenaar van de data, maar de verantwoordelijkheid blijft bestaan. Ook juridisch. De AVG maakt geen onderscheid tussen actieve systemen en afgeschreven apparatuur. Data is data, ongeacht waar die staat.

Audits vragen om bewijs, niet om aannames

Steeds vaker komt dataverwijdering ter sprake bij audits, ISO-trajecten en interne controles. En dan is de vraag niet: “hebben jullie dit geregeld?” maar: “kunnen jullie laten zien hóé het is geregeld?” Een losse verklaring of een algemeen certificaat is dan onvoldoende. Auditors willen weten:

• welke apparaten zijn verwerkt


• welke datadragers zijn gewist


• volgens welke methode


• wanneer en door wie


• en of dat controleerbaar is vastgelegd

Zonder die onderbouwing blijft er twijfel. En twijfel is precies wat je wilt voorkomen als het om data gaat.

Zo pakt Reviver dataverwijdering aan

Bij Reviver begint dataverwijdering altijd bij overzicht. Welke apparaten zijn er, welke datadragers bevatten ze en wat is het risico. Vervolgens kiezen we voor gecertificeerde softwarematige dataverwijdering of, waar nodig, fysieke vernietiging. Elke stap wordt vastgelegd, gecontroleerd en aantoonbaar gemaakt. Klanten ontvangen een wis-certificaat en een rapportage per batch.

“Dataverwijdering is geen administratieve handeling,” zegt Lennaert van Offenbeek, commercieel directeur bij Reviver. “Het is een proces dat je moet kunnen uitleggen én aantonen. Alleen dan weet je zeker dat oude hardware geen nieuw risico wordt.”

Zekerheid zit niet in papier, maar in controle

Een certificaat heeft alleen waarde als het onderdeel is van een gecontroleerd proces. Daarom werkt Reviver met onafhankelijke controle via Certus. Niet om extra papier toe te voegen, maar om zekerheid te vergroten. Dat maakt het verschil tussen denken dat het goed zit, en wéten dat het goed zit.

Kortom: er is geen grijs gebied

Dataverwijdering kent geen middenweg. Je data is óf aantoonbaar verwijderd, óf niet. Organisaties die dat serieus nemen, kiezen voor overzicht, controle en transparantie. Dat geeft rust. Voor IT, voor management en voor iedereen die verantwoordelijkheid draagt.