Van je data afkomen is moeilijker dan het lijkt

GDPR en het wissen van gegevens

Nu de GDPR op volle kracht is, moet je als bedrijf heel voorzichtig zijn met je gevoelige gegevens. Maar wat nou als je van die gegevens af wil? Binnen het bedrijfsleven is een eenvoudige shift-delete er helaas niet bij, en het is bovendien juridisch niet acceptabel. De vraag is dan wat organisaties moeten doen om van data af te komen, zonder dat ze meteen een enorme boete riskeren.

 

Zoals zoveel delen van de tekst is artikel 17, het recht om te worden gewist, niet heel concreet. Het vroegere ‘recht om vergeten te worden’ eist van organisaties dat ze in staat zijn om persoonsgegevens binnen een maand op aanvraag te wissen. Dat op straffe van een boete van maximaal 20 miljoen euro of, als dat hoger is, 4 procent van wereldwijde omzet. Maar wat betekent wissen precies? Als het betekent ‘de data is weg en is niet meer terug te halen’, dan is het wissen of zelfs formatteren van een schijf niet voldoende. Je loopt dan alsnog het risico dat wanneer je de schijf wegdoet, de gegevens erop alsnog op te vragen zijn. Het is daarom geen wonder dat de laatste jaren veel aandacht uitgaat naar data-sanering. Vooral specialisten van oplossingen voor data-recovery zien een gat in de markt en zetten daar vol op in.

Vaak genoeg lukt het specialisten om data terug te krijgen van apparatuur dat een overstroming of uitslaande brand heeft doorgemaakt

Het is echter een misvatting om te denken dat het verantwoord schoonvegen van  opslagmedia pas door de GDPR over het voetlicht is gebracht. Het maakt al langer deel uit van IT Asset Disposition (ITAD), oftewel de verwerking van IT-afval. Daarmee voorkomen bedrijven dat ze informatie lekken via hun weggegooide hardware. GDPR heeft wel de aandacht er opnieuw op gevestigd. Bij eventuele datalekken is het immers belangrijk bewijs te hebben dat je al het redelijke hebt gedaan om het te voorkomen. Een rapport van een ITAD-leverancier kan dergelijk bewijs vormen. Het is ook definitief bewijs dat voldaan is aan artikel 17, het recht om gewist te worden. Daarnaast legt de GDPR verantwoording bij zowel de partij die de data beheert (dus het bedrijf waar de gegevens oorspronkelijk lagen) als bij de verwerker (dus het bedrijf dat het wissen voor zijn rekening neemt).

Dan heb je Data Sanitization

De IT-markt is opportunistisch genoeg om een buzzwoord te plakken aan iets dat al bestaat. Het al eerder genoemde data-sanering (in het Engels: data sanitization) is zo’n modeterm die al een hele tijd bestaat, maar pas sinds een jaar weer naar de voorgrond wordt geduwd. Het betekent het onherroepelijk verwijderen of vernietigen van gegevens, opgeslagen op een IT-apparaat. Dat kunnen storage- media zijn, mobiele apparaten, maar bijvoorbeeld ook wearables, medische apparatuur. Je spreekt pas van sanering als zelfs de meest geavanceerde foren- sische oplossingen niet in staat zijn delen van de data terug te krijgen. Een vorig jaar opgericht consortium, de IDSC, heeft het doel om dit over het voetlicht te brengen in de markt. Het mag niet verrassen dat naast enkele consultants ook partijen als Kroll Ontrack en Ingram Micro achter de groep zitten.

Wissen of zelfs formatteren van je schijven is niet voldoende

Hoe krijg je data weg?

Om een opslagmedium effectief te ‘saneren’ is het onvoldoende om de gegevens domweg te deleten. Sterker nog, een format uitvoeren helpt ook al niet. Maar er zijn genoeg methodes waarmee je gegevens wel op de juiste manier weg krijgt. Bij Gartner noemen ze er drie: fysieke vernietiging van het medium, cryptografisch wissen en data erasure.

Fysieke vernietiging betekent dat je niet alleen de hardware onwerkbaar maakt, maar dat je ook de interne componenten waar de data wordt opgeslagen onbruikbaar zijn. Dat is moeilijker dan het klinkt. Vaak genoeg lukt het specialisten om data terug te krijgen van apparatuur dat een overstroming of uitslaande brand heeft doorgemaakt. Je hebt het echt over het smelten of shredden van de magnetische platen. Effectief, maar duur en de fysieke hardware kun je uiteraard niet meer inzetten. ‘Degaussing’ is iets subtieler en minder bewerkelijk: je verwijdert het magnetische veld van de schijf met een speciaal apparaat maar ook dan kun je de schijf weggooien.weggooien.

De tweede methode is dat je de gegevens eerst versleuteld, en vervolgens weghaalt. Als je de encryptiesleutel vernietigt, ben je ervan verzekerd dat de gegevens niet meer in te zien zijn, zelfs al neemt iemand de moeite om ze terug te halen. Het is relatief snel, vooral als de schijf al versleuteld was om veiligheidsredenen. Nadeel is echter dat heel goed moet nagaan of je echt geen kopie van de vernietigde sleutel meer hebt. Dat is op papier ook moeilijk te bewijzen.

De derde manier is het conventionele overschrijven. Door alle sectoren van een medium te overschrijven met nieuwe data. Goedkoop en eenvoudig in de uitvoer, en de hardware blijft gewoon bruikbaar voor de toekomst. Het duurt alleen erg lang als je te maken hebt met grote hoeveelheden opslag, en bovendien luistert het allemaal erg nauw. Je vergeet al snel een deel.

De grootste uitdaging: het overzicht

Maar het bovenstaande gaat allemaal uit van dat je precies weet waar je data staat. Daar wringt de schoen. ICT-omgevingen zijn dusdanig groot en complex geworden dat organisaties vaak niet eens weten welke data ze in huis hebben. Vooral met Artikel 17 krijg je problemen, want hoe kun je garanderen dat echt alle sporen van de persoon weg zijn als je niet eens weet waar alle data staat? Cloudomgevingen, het constante delen van gegevens tussen gebruikers en apparaten, het maakt het allemaal niet eenvoudiger om bij te houden waar alles staat.

Verschillende niche-leveranciers bieden softwareoplossingen die dat overzicht moeten bieden. Een prima startpunt wellicht, maar de organisatie moet doorpakken en duidelijke procedures in acht nemen waarmee de informatiestroom goed wordt beheerd. Pas als je dat allemaal hebt opgezet, kun je serieus gaan praten over effectieve datavernietiging.

[Dit artikel is eerder gepubliceerd in het Security Dossier 2018 van ChannelConnect]

Lees het artikel hier in PDF