Harde schijf wissen versus vernietigen: wat schrijft NIST 800-88 voor?
Een kast vol oude harde schijven is voor de meeste IT-afdelingen een langlopend dilemma. Wegwerken zonder nadenken is risicovol: een schijf die nog leesbaar is kan een datalek veroorzaken en een AVG-boete opleveren. Maar alle schijven zomaar vernietigen voelt ook verkwistend, zeker als ze nog bruikbaar zijn voor hergebruik. De Amerikaanse norm NIST SP 800-88 Revision 1 (uitgave 2014, nog steeds leidend) biedt de structuur: Clear, Purge, Destroy. Drie opties, drie zekerheden, drie kostenniveaus.
Dit artikel legt uit wat die drie termen betekenen, wanneer je welke kiest, en welke categorieen data forceren dat je onvermijdelijk doorgaat naar Destroy.
De drie NIST-categorieen
Clear: logisch wissen via interface
Clear gebruikt de standaard lees- en schrijfcommando's van het apparaat om alle data te overschrijven. Voor een HDD volstaat vaak een enkele overwrite met nullen of willekeurige patronen. Tools: DBAN (historisch), ATA Secure Erase, Blancco, ingebouwde OS-functies zoals cipher op Windows. Clear beschermt tegen simpele recovery-software, maar niet tegen laboratoriumaanvallen met magnetische residuen.
Purge: wissen of destructie op fysiek niveau
Purge gaat dieper en haalt data weg zodanig dat ook laboratoriumtechnieken niets meer kunnen vinden. Voor moderne HDD's werkt ATA Secure Erase als Purge-methode omdat het de gehele physical media overschrijft. Voor oudere of speciale schijven betekent Purge vaak degaussen (magnetisch ontmagnetiseren met sterk veld).
Destroy: fysieke vernietiging
Destroy is het onomkeerbaar fysiek beschadigen van de schijf. Methoden: schredderen, desintegreren, smelten, verpulveren. NIST 800-88 geeft als richtlijn dat partikels klein genoeg moeten zijn dat datarecovery technisch onmogelijk is. Voor HDD komt dat neer op DIN 66399 H-4 (partikels < 2000 mm²) of hoger.
Degaussen werkt uitstekend op HDD, maar bij SSD's is het waardeloos. Magnetische velden hebben geen effect op flashgeheugen.
Welke categorie past bij welke data?
NIST 800-88 koppelt de keuze aan de ‘security categorization’ uit FIPS 199. Vertaald naar Nederlandse AVG-praktijk:
- Laag risico (openbare marketingdata, logbestanden zonder persoonsgegevens): Clear is voldoende.
- Gemiddeld risico (reguliere persoonsgegevens, bedrijfsvertrouwelijke data): Purge of Destroy.
- Hoog risico (bijzondere categorieen AVG art. 9, financiele data Wwft, medische dossiers): Destroy, geen uitzonderingen.
Voor een MKB-IT-afdeling betekent dit in de praktijk: alle werkplekschijven gaan naar Destroy, tenzij je zeker weet dat er nooit gevoelige data op heeft gestaan. En die zekerheid heb je zelden, want gebruikers kopieren onvermijdelijk iets lokaal op hun laptop.
Wissen: waarom het vaak niet werkt
Er zijn drie klassieke redenen waarom een wispoging mislukt:
- Defecte schijf: als de controller niet meer werkt, kun je geen wis-commando sturen. Toch kan een specialist met een vers printplaatje de platters alsnog uitlezen.
- HPA en DCO: Host Protected Area en Device Configuration Overlay bevatten data die standaard wis-tools overslaan. Enkel een volledige ATA Secure Erase of laag-niveau wipe haalt ze weg.
- Oude schijven met beperkte commando-sets: ATA-schijven van voor 2001 ondersteunen geen volledige Secure Erase. Degaussen of vernietigen is dan de enige optie.
Bij SSD's is wissen nog lastiger door wear-leveling en reservecellen. Zie ook ons artikel over SSD's vernietigen: waarom overwriten niet werkt.
De kostenkant
Wat kost wat?
- Software-wissen (Clear of Purge via ATA Secure Erase): ongeveer 5 tot 15 euro per schijf bij professionele service, inclusief logging. Tijd per schijf: 1 tot 8 uur afhankelijk van capaciteit.
- Degaussen: 2 tot 5 euro per schijf bij volume.
- Schredderen: 3 tot 8 euro per schijf bij volume, inclusief ophaal en certificaat bij mobiele dienst.
Schredderen is vaak de goedkoopste optie per schijf zodra je meer dan 20 schijven tegelijk hebt, omdat de doorlooptijd kort is. Wissen vraagt uren per schijf en dus personeelskosten.
HDD-voorraad wegwerken? Mobiele shredder rijdt voor.
Je schijven verlaten je parkeerplaats niet intact. Wij vernietigen on-site volgens DIN 66399 H-4 of H-5, met certificaat per serienummer. Ook geschikt voor batches vanaf 10 stuks.
Vraag een offerte aanCertificering en logging
Wat je ook kiest, zorg dat het bewijs op orde is. NIST 800-88 schrijft expliciet voor dat elke handeling gelogd wordt met:
- Fabrikant, model, serienummer
- Type media (HDD, SSD, Tape)
- Methode (Clear, Purge, Destroy en welke techniek)
- Tool en versie
- Datum, operator, locatie
- Resultaat (pass/fail)
Bij Destroy hoort daar een foto of film van de vernietiging bij, plus een vernietigingscertificaat. Lees ons artikel over Certificaat van Vernietiging voor een complete veldenlijst.
Hergebruik versus vernietiging: wanneer refurbish?
Voor gezonde HDD's met hoge capaciteit is hergebruik soms aantrekkelijk. Maar de AVG-risico's zijn reeel. Onze vuistregel:
- Nieuw gekochte schijven die korte tijd in gebruik waren: Purge via ATA Secure Erase en test, dan herbestemming acceptabel.
- Schijven uit end-user laptops en werkstations: Destroy, de kans op achtergebleven persoonsgegevens is te hoog.
- Schijven uit servers met medische of financiele data: altijd Destroy.
- Schijven onbekende herkomst of met defect: Destroy, niet wissen.
Wat zegt de AP over HDD-hergebruik?
De Autoriteit Persoonsgegevens heeft bij meerdere handhavingsacties laten zien dat hergebruik van datadragers extreme zorgvuldigheid vraagt. Een gemeente werd in 2021 aangesproken op het verkopen van afgeschreven laptops met leesbare data, een schoolvoorbeeld van een datalek door slechte vernietiging. Een ziekenhuis kreeg een waarschuwing voor oude MRI-schijven. De les: bij twijfel vernietigen, niet herbestemmen.
Voorraad HDD's die weg moet? Bel ons of vraag een offerte aan via desnipperaar.nl. Mobiele shredder, certificaat per serienummer, geen brandstoftoeslag.