USB-sticks en geheugenkaarten veilig afvoeren
Elke lade op kantoor heeft ze: een bak met usb-sticks van congressen, oude SD-kaartjes uit fotocamera's, microSD's uit telefoons. Meestal jarenlang ongebruikt, vaak met data die niemand nog kent. En toch belanden ze meestal in de prullenbak, met de gedachte ‘dat was vast oud en onbelangrijk’. Dat is precies hoe datalekken ontstaan. Een stick van tien jaar geleden kan nog altijd de volledige offerte-database van 2015 bevatten.
Dit artikel legt uit waarom formatteren of weggooien geen optie is, welke norm geldt voor kleine flashdragers, en hoe je ze in bulk kunt afvoeren.
De techniek in het kort
Usb-sticks en SD-kaarten zijn NAND-flash, net als SSD's maar dan met eenvoudiger controllers. Dezelfde mechanismen spelen:
- Wear-leveling: data wordt verspreid over cellen om slijtage te beperken. Een overwrite raakt niet alle fysieke geheugenplekken.
- Reservecellen: goedkope sticks hebben minder reserves dan dure SSD's, maar vaak wel 5 tot 10 procent onzichtbare ruimte.
- Slechte TRIM: veel sticks ondersteunen TRIM helemaal niet, waardoor gewiste data blijft hangen tot fysiek overschreven.
Voor de diepgang op deze techniek, zie ons artikel over waarom overwriten op SSD niet werkt.
Waarom formatteren niet genoeg is
Een ‘snelle formattering’ raakt alleen de bestandstabel, niet de daadwerkelijke data. Een recovery-tool als PhotoRec of R-Studio vindt de bestanden binnen minuten terug. Ook een ‘volledige formattering’ op Windows of macOS overschrijft vaak slechts een deel van het bruto geheugen, met alle wear-leveling-beperkingen.
Een formattering maakt een stick schoon voor de gebruiker, niet voor de forensicus. Recovery-software vindt binnen 5 minuten terug wat jij na 10 minuten formatteren dacht te hebben gewist.
Wat zegt DIN 66399 over usb en SD?
USB-sticks en geheugenkaarten vallen onder de E-reeks van DIN 66399 (Elektronische dragers). De niveaus zijn identiek aan die voor SSD:
- E-3: partikels tot 160 mm². Te grof voor persoonsgegevens.
- E-4: partikels tot 30 mm². Minimum voor reguliere persoonsgegevens.
- E-5: partikels tot 10 mm². Bijzondere categorieën, financieel, medisch.
- E-6: partikels tot 1 mm². Topgeheim niveau.
Voor het MKB is E-4 de standaard. Gaat het om medische dossiers op SD (denk aan microscoopbeelden, ECG-exports), dan kies je E-5. Zorgverleners vinden meer details in ons artikel over WGBO-patientendossiers en dataretentie.
Vier praktijksituaties
1. De congresstick
Die stick van een conferentie bevat soms de presentatie en onschadelijke informatie. Maar gebruikers kopieren ook regelmatig bestanden van de eigen laptop ernaartoe. Werkwijze: vernietigen, niet herbestemmen. De waarde van een 2 GB stick is lager dan het risico.
2. De micro-SD uit een oude telefoon
Bevat vaak foto's, app-data, WhatsApp-backups, tokens. Formatteren op de telefoon is niet genoeg. Kaart uit de telefoon halen en shredderen.
3. De SD-kaart uit een fotocamera
Foto's van evenementen, soms portretten van mensen die geen publicatie-toestemming gaven. Vernietigen zodra de kaart niet meer nodig is.
4. De bedrijfs-usb met offertes
Meest risicovol. Klantdata, offertes, interne memo's. Altijd vernietigen bij uitdiensttreding of apparatenrotatie.
Hoe voer je in bulk af?
Kleine volumes (tot 10 stuks) kun je in de regel meenemen in een reguliere HDD- of SSD-vernietigingsronde. Voor grotere volumes werkt het zo:
- Verzamel sticks en kaarten in een verzegelde doos. Noteer waar ze vandaan komen als je dat nog weet.
- Wacht niet tot je er honderden hebt. Maandelijks of per kwartaal meenemen in een mobiele shredderronde is efficient.
- Vraag een certificaat met aantal eenheden per type media.
- Gooi behuizingen na vernietiging in normaal elektronisch afval (KGA / e-waste).
Lade vol usb-sticks en SD-kaarten?
Wij nemen ze mee in een mobiele shredderronde en vernietigen tot DIN 66399 E-4 of hoger. Certificaat per opdracht, geen verborgen kosten.
Vraag een offerte aanDe lastige gevallen
Versleutelde usb-sticks
Hardware-versleutelde sticks (BitLocker-to-Go, IronKey, Kingston DataTraveler Vault) zijn theoretisch beschermd zodra het wachtwoord vergeten is. Theoretisch. De praktijk: firmware-kwetsbaarheden blijven opduiken, en de AVG eist geen ‘goed genoeg’ maar ‘passende maatregelen’. Versleutelde drager afvoeren? Alsnog shredderen, dan is er geen discussie.
Geheugenkaarten in defecte apparaten
Een oude camera, telefoon of tablet met ingebouwd geheugen (eMMC, UFS) of vastgelijmde kaart kan niet uit elkaar. Lever het hele apparaat in bij een mobiele vernietigingsronde. Het apparaat gaat inclusief behuizing door de shredder, wat vaak sneller en veiliger is dan uit elkaar halen.
Productsamples op geheugenkaart
Bedrijven die prototypes op SD of microSD leveren (firmware, beta-software) laten vaak per ongeluk trainingsdata of broncode achter. Bij afdanking is sandkaart shredderen verplicht, niet een zachte formatteer.
Certificering en bewijsvoering
Voor een klein volume lijkt certificering overdreven, maar het hoort erbij. Een vernietigingscertificaat voor kleine datadragers moet vermelden:
- Aantal eenheden per categorie (usb, SD, microSD)
- Totaal gewicht
- Beveiligingsniveau (bijvoorbeeld E-4)
- Datum en locatie vernietiging
- Uniek opdrachtnummer
Zie ons artikel over Certificaat van Vernietiging voor een complete uitleg.
Samenvatting
Kleine datadragers zijn disproportioneel risicovol: ze bevatten vaak gevoelige data, ze zijn makkelijk kwijt te raken, en ze overleven formatteren moeiteloos. De enige betrouwbare manier om ervan af te komen is fysieke vernietiging volgens DIN 66399 E-4 of hoger. Dat kost per stick letterlijk een paar euro en geeft je de papieren om elke audit soeverein door te komen.
Tijd om op te ruimen? Bel ons of vraag een offerte aan via desnipperaar.nl. Mobiele shredder voor de deur, certificaat per opdracht.