NIST 800-88 versus DIN 66399: twee standaarden naast elkaar
Wie een internationale klant of moederbedrijf bedient, krijgt vroeg of laat te maken met twee verschillende vocabulaires voor hetzelfde onderwerp. Amerikaanse contracten verwijzen naar ‘NIST 800-88 Purge' of ‘Destroy'. Europese contracten naar DIN 66399 P-5 of H-4. Het zijn geen vertalingen van elkaar; ze stellen verschillende vragen. Wie ze door elkaar gebruikt, krijgt audit-verrassingen.
NIST 800-88: een procesnorm
De Amerikaanse standaard NIST Special Publication 800-88 (Guidelines for Media Sanitization) deelt mediasanitisering op in drie niveaus, op volgorde van zwaarte:
- Clear: overschrijven van alle gebruikersgegevens via standaard interfaces. Goed voor herbruik binnen de eigen organisatie.
- Purge: krachtigere methoden zoals secure-erase commando, cryptografische erasure, of degaussen voor magnetische dragers. Goed bij hergebruik buiten de organisatie.
- Destroy: fysieke vernietiging zoals shredderen, smelten, verbranden. Voor end-of-life waarbij de drager niet meer hoeft te functioneren.
NIST kijkt naar het doel: na sanitisering, kun je redelijkerwijs uitsluiten dat data herstelbaar is? De norm specificeert geen exacte deeltjesgrootte, maar wel welke methode bij welke mediaklasse passend is. Voor een SSD is bijvoorbeeld ‘Clear' via overschrijven onbetrouwbaar (wear leveling), dus is Purge of Destroy aangewezen. Lees ons artikel over SSD-vernietiging.
DIN 66399: een specificatienorm
De Duitse en de facto Europese norm DIN 66399 kijkt juist naar het resultaat: hoe groot zijn de fragmenten na vernietiging? De norm splitst per dragersoort:
- P (Paper): P-1 t/m P-7, gebaseerd op oppervlakte van papiersnippers in mm².
- F (Film): film en microfilm.
- O (Optical): CD, DVD, Blu-ray.
- T (Magnetic): harde schijven, magneetbanden.
- H (Hard drive): harde schijven specifiek.
- E (Electronic): elektronische dragers met geheugenchips, dus SSD's, USB-sticks, geheugenkaarten.
Voor elke dragersoort kent DIN drie beschermingsklassen (1 = normaal, 2 = verhoogd, 3 = bijzonder gevoelig) en zeven veiligheidsniveaus (1 t/m 7). Lees ons artikel over DIN 66399 P-5 en P-6 voor de papierdetails.
Een vertaaltabel
De twee normen overlappen, maar dekken elkaar niet volledig. Een eenvoudige vertaaltabel voor harde schijven:
| NIST 800-88 | DIN 66399 (HDD) | Methode |
|---|---|---|
| Clear | n.v.t. (DIN gaat alleen over fysiek) | Software-overschrijven |
| Purge | H-2 / H-3 | Degaussen of crypto-erasure |
| Destroy | H-4 / H-5 | Crushen of shredderen tot fragmenten |
| Destroy (defensie) | H-6 / H-7 | Fijne shreddering |
Voor papier is de vertaling andersom lastiger omdat NIST geen specifieke partikelgroottes voor papier voorschrijft. Een Amerikaanse contractuele ‘cross-cut shredding' komt globaal overeen met DIN P-3 of P-4.
Stelregel: NIST beschrijft het beleid (welk niveau wanneer), DIN beschrijft het uitvoeringsbewijs (welke deeltjesgrootte uiteindelijk). De twee samen geven volledige dekking.
Voor welke organisatie welke standaard?
- Amerikaanse moederbedrijven of klanten. NIST 800-88 in contracten, vraag de leverancier om DIN-classificatie als bewijsvoering.
- EU-organisaties met AVG-verplichting. DIN 66399 is dominant in Europese leveranciersmarkt, en het AVG-toezicht ziet de DIN-norm als ‘passende technische maatregel'.
- Defensie of high-security. Vraag om allebei: NIST Destroy plus DIN H-6 of H-7.
- Multinational met gemengde data. Vermeld beide standaarden in je beleid en kies een leverancier die beide kan certificeren op het certificaat.
Combinatie met methode-keuze
Hoe je de keuze tussen degaussen, crushen of shredderen maakt, hangt af van welk standaardniveau je doel is. Wil je NIST Purge halen, dan is degaussen voldoende voor HDD's. Voor NIST Destroy moet je shredderen of crushen plus degaussen combineren. Voor DIN H-5 is shredderen vereist; degaussen alleen volstaat niet.
Wat hoort op je certificaat?
Een goed vernietigingscertificaat noemt expliciet beide standaarden waar relevant. Voorbeeld: “Vernietigd volgens DIN 66399 P-5, equivalent aan NIST 800-88 Destroy.” Dat geeft de auditor in één regel het bewijs voor beide regimes en voorkomt dat je het bij de volgende audit weer moet herleiden.
Eindcertificaat met beide standaarden.
Onze certificaten vermelden DIN 66399 P-5 en NIST 800-88 Destroy waar van toepassing, voor zowel papier als hardware.
Vraag een offerte aanHeeft je klant of moederbedrijf een specifieke standaard in het contract? Mail ons via desnipperaar.nl en we leveren een certificaat dat aan beide voldoet.