ISO 27001 en fysieke vernietiging: welke controls eisen wat?
Wie ISO 27001-gecertificeerd wil worden of zijn certificering wil behouden, krijgt vroeg of laat te maken met de vraag hoe vertrouwelijke informatie aan einde levensduur wordt verwijderd. De norm vraagt expliciet om beheersing van media disposal als onderdeel van het Information Security Management System (ISMS). Dit artikel ontleedt de relevante controls uit Annex A en laat zien wat een auditor concreet wil zien.
Welke controls raken vernietiging?
ISO 27001:2022 Annex A noemt onder ‘A.7 Physical controls' en ‘A.8 Technological controls' expliciet:
- A.7.10 Storage media: beheer van opslagmedia gedurende de levensduur, inclusief verwijdering.
- A.8.10 Information deletion: verwijdering van informatie wanneer niet langer nodig.
- A.8.12 Data leakage prevention: voorkomen van ongewenste verspreiding van vertrouwelijke informatie, inclusief tijdens disposal.
- A.5.34 Privacy and protection of PII: bescherming van persoonsgegevens (raakt vernietiging via de AVG-link).
Onder de oude versie van de norm (ISO 27001:2013) was dit verspreid over A.8.3 (Media handling) en A.11.2.7 (Secure disposal or re-use of equipment). De inhoud is materieel hetzelfde gebleven; de structuur is in 2022 gestroomlijnd.
Wat verwacht een auditor concreet?
Documentatie
- Disposal Policy: geschreven beleid waarin staat welke methodes voor welke informatieklassen worden gebruikt.
- Procedure per type drager: papier, HDD, SSD, optisch, plastic kaarten.
- Verwerkersovereenkomst met externe vernietigingsleverancier, lees de checklist.
- Informatieklasse-koppeling: welke classificatie (Public, Internal, Confidential, Strictly Confidential) krijgt welke vernietigingsmethode?
Bewijs van uitvoering
- Vernietigingscertificaten per opdracht, lees het certificaat van vernietiging.
- Logboek van afgevoerde dragers (asset-tag, datum, methode).
- Periodieke review van leverancier.
- Trainingsbewijzen voor medewerkers die met vertrouwelijke media werken.
Operationele controls
- Afgesloten consoles op kantoor, lees locked consoles versus open bakken.
- Chain of custody documentatie, lees chain of custody van archief tot shredder.
- Risicoanalyse op disposal-keten.
Information Classification: koppeling met vernietigingsmethode
Een gangbaar Annex A-conforme classificatie ziet er zo uit:
| Klasse | Voorbeeld | Vernietigingsmethode |
|---|---|---|
| Public | Promomateriaal | Reguliere afvalstroom |
| Internal | Interne procedures | DIN P-3 |
| Confidential | Klantadministratie, HR | DIN P-4 / P-5 |
| Strictly Confidential | Bijzondere persoonsgegevens, geheimhouder-data | DIN P-5 / P-6, voor hardware H-5 / H-6 |
De auditor wil zien dat classificatie en vernietigingsmethode logisch aan elkaar gekoppeld zijn. Generieke ‘alles op P-5' werkt, maar overspecificeren is duur en onlogisch.
NIST 800-88 als technische bron
ISO 27001 verwijst niet expliciet naar NIST 800-88, maar de standaard is wel de impliciete technische referentie. In auditverslagen wordt vaak NIST's Clear / Purge / Destroy als technische klasse gebruikt naast DIN-classificaties. Lees ons artikel NIST 800-88 vs DIN 66399 voor de vertaaltabel.
De leveranciersbeoordeling
ISO 27001-certificering vraagt periodiek aantoonbaar dat externe leveranciers voldoen aan jouw beveiligingseisen. Voor een vernietigingsleverancier vraag je onder meer:
- Eigen ISO 27001-certificering (niet verplicht, wel scheelt due diligence).
- Beschrijving van de operationele processen.
- DIN-classificatie van apparatuur en proces.
- Certificaat-template per opdracht.
- Verwerkersovereenkomst onder AVG.
- Calamiteitenprocedure (wat als materiaal kwijt raakt?).
Mobiel versus offsite in ISO-context
Auditoren vragen vaak naar de chain of custody. Mobiele vernietiging (op locatie) verkort die keten aanzienlijk en is daarom in ISO-context vaak de aanbevolen route. Voor de bredere afweging, lees mobiele versus offsite shredding. Bij offsite is extra documentatie nodig over transportbeveiliging en verwerkingstijd op de shreddersite.
Veelgemaakte audit-bevindingen (NCs)
- ‘Disposal policy ontbreekt of is verouderd.’ Maak en review jaarlijks.
- ‘Geen verwerkersovereenkomst met vernietigingsleverancier.’ Vraag op bij leverancier.
- ‘Certificaten incompleet (geen DIN-classificatie).’ Vraag explicieter certificaat.
- ‘Geen koppeling tussen classificatie en disposal-methode.’ Tabel in policy opnemen.
- ‘Geen leveranciersbeoordeling.’ Plan jaarlijks of per opdracht.
Onze rol in jouw ISO-traject
Wij leveren standaard:
- Verwerkersovereenkomst onder AVG art. 28.
- Certificaat per opdracht met DIN-classificatie en methode.
- Op verzoek leveranciersverklaring met onze beveiligingsmaatregelen.
- Asset-tag of serienummerlijst voor hardware-vernietiging.
Voor IT-MSP's die ISO-omgevingen voor klanten beheren is dit relevant; lees ons branchespecifieke artikel.
ISO 27001-conforme vernietigingsbewijs.
Wij leveren VWO, certificaat en op verzoek leveranciersverklaring. Direct in je ISO-dossier te voegen.
Vraag een offerte aanBezig met ISO-certificering? Mail ons via desnipperaar.nl over de specifieke audit-bewijzen die jouw auditor verwacht.