Achtergrond en geschiedenis van datavernietiging & normen
Het vernietigen van vertrouwelijke gegevens is al tientallen jaren een belangrijk onderwerp.
In het papieren tijdperk ging het vooral over archieven, belastingdossiers, medische gegevens en bankadministratie. De vernietiging gebeurde met papierversnipperaars en later met gecertificeerde archiefvernietiging. Tijdens de Iraanse revolutie in 1979 gingen beelden de wereld over dat Iraanse schoolkinderen geshredderde papieren documenten aan mekaar plakten omdat ze alleen maar in strookjes geshreddered waren. Vanaf dat jaar werden de papier shredders dus beter.
Toen rond de eeuwwisseling de digitalisering een vlucht nam, werd het beschermen en vernietigen van digitale data minstens zo belangrijk. Want wat doe je met de harde schijf uit een oude server? Of met die USB-stick van de helpdesk?
Datavernietiging veranderde van iets fysieks (papier) naar iets technologisch:
shredderen, wissen, ontmagnetiseren, en alles daartussen.
Daarbij ontstond behoefte aan duidelijke regels. Normen dus. Die kwamen uit verschillende hoeken:
- Duitsland: DIN 66399 – een technische norm voor hoe fijn je moet versnipperen
- Amerika: NIST 800-88 – een richtlijn voor veilige gegevensverwijdering
- Internationaal: ISO-normen voor kwaliteitsborging en informatiebeveiliging
- Nederland: WEEELABEX – normen voor verantwoorde verwerking van e-waste
Inmiddels zijn deze normen niet meer weg te denken.
Voor bedrijven draait het allang niet meer om ‘even een harde schijf wissen’, maar om aantoonbare veiligheid, compliance, AVG-proof werken en professioneel verantwoorde recycling.
En dat is precies waar wij als IT-recycling in beeld komen.
🔹 DIN 66399 – Alleen een technische norm, géén certificaat
DIN 66399 is een Duitse technische norm die omschrijft hoe groot de deeltjes moeten zijn na vernietiging van informatiedragers. Er zijn verschillende categorieën (P, H, T, E, etc.) afhankelijk van het type drager (papier, harde schijf, tape, etc.), en binnen elke categorie zijn er beveiligingsklassen (1 t/m 7) die iets zeggen over de fijnheid van de vernietiging.
🔧 Maar let op:
DIN 66399 zegt niets over hoe goed of hoe veilig je werkt als bedrijf. Er is:
- Geen audit
- Geen certificering
- Geen controle of je je er echt aan houdt
De beveiligingsklasse kiezen doet de klant zelf, afhankelijk van hoe gevoelig de data is.
Zeggen dat je “vernietigt volgens DIN 66399 H-5” betekent dus alleen:
👉 De stukjes zijn kleiner dan 10 mm² — niet meer, niet minder.
Bij IT-recycling vernietigen we:
- Harde schijven, tapes en telefoons standaard op H-5 niveau (max. 9 mm²)
- Moderne digitale media zoals USB-sticks, CF-kaarten, SIM-kaarten, SD-kaarten en SSD’s op E-6 of T-6 niveau: 2 mm fijn, op locatie. Wij zijn de enige in het land dit kan.
Zo weet je precies hoe grondig de fysieke vernietiging is.
Tabel: Overzicht DIN 66399 vernietigingsniveaus
| Categorie | Toepassing | Beveiligings- niveaus | Maximale deeltjesgrootte | Opmerking |
|---|
| P | Papier, microfilm | P-1 t/m P-7 | P-1: 12 mm stroken P-7: max. 5 mm² |
Voor papieren documenten |
| H | Harde schijven (magnetisch) | H-1 t/m H-5 | H-5: max. 320 mm², max 10 mm | H-5 = aanbevolen voor gevoelige info |
| T | Magnetische tapes (bijv. backup-tapes) | T-1 t/m T-5 | T-5: max. 10 mm² | Veelal gelijk aan H-categorie qua eisen |
| E | Elektronische opslagmedia (USB, SSD) | E-1 t/m E-5 | E-5: max. 10 mm² | Ook toepasbaar op smartphones, SIM-kaarten enz. |
| F | Optische media (CD/DVD/Blu-ray) | F-1 t/m F-3 | F-3: max. 0,5 mm² | Voor extreem gevoelige data |
| O | Film/microfiche | O-1 t/m O-6 | O-6: max. 0,2 mm² | Zeer specifiek voor archieffilm |
🔹 ISO 27001 – Managementsysteem voor informatiebeveiliging
ISO 27001 is een echte certificering, met een jaarlijks terugkerende externe audit.
Deze norm gaat niet over hoe groot stukjes zijn, maar over hoe je als organisatie omgaat met informatiebeveiliging in de breedste zin.
Bij IT-recycling hebben we het ISO 27001-certificaat aan de muur hangen.
De norm verplicht ons om:
- Risico’s te analyseren en te beheersen
- Te leren van fouten en incidenten
- Bedrijfscontinuïteit te waarborgen
- Controlemaatregelen vast te leggen en uit te voeren
- Alles te documenteren en regelmatig te evalueren
Omdat wij dagelijks vertrouwelijke data vernietigen, gaat ISO 27001 bij ons voor een groot deel over de risico’s rondom datavernietiging en -verwerking. Het is dé norm die aantoont dat je informatiebeveiliging serieus neemt.
🔹 ISO 9001 en 14001 – Kwaliteit en milieu
Daarnaast zijn we ook ISO 9001 (kwaliteit) en ISO 14001 (milieu) gecertificeerd.
Dat betekent dat we continu werken aan:
- Klanttevredenheid
- Efficiënte processen
- Milieubewuste verwerking
- Voldoen aan wet- en regelgeving
De combinatie van deze drie ISO-normen toont aan dat we als bedrijf professioneel, betrouwbaar én duurzaam werken.
🔹 NIST 800-88 – De Amerikaanse standaard
NIST 800-88 is een norm van het Amerikaanse NIST (National Institute of Standards and Technology).
Die gaat uitsluitend over hoe je data moet vernietigen, zowel via software (wissen) als fysiek (shredderen).
In Nederland is deze norm nauwelijks bekend, en niemand is er hier officieel op gecertificeerd. Toch vragen sommige klanten ernaar, bijvoorbeeld omdat ze iets op internet hebben gelezen of omdat hun moederbedrijf in de VS zit.
Feit is: onze werkwijze overstijgt NIST 800-88 in de praktijk.
Dankzij onze combinatie van:
- ISO 27001 (informatiebeveiliging)
- Weeelabex (verantwoorde verwerking van e-waste)
- DIN 66399 (technische uitvoeringsnorm)
…voldoen wij ruimschoots aan wat NIST 800-88 eist — en op sommige punten zelfs meer.
Er zijn slechts een paar kleine details uit de NIST-norm die niet apart benoemd worden in ISO of Weeelabex, maar die doen niets af aan de kwaliteit van onze dienst.
🔹 CA+? Niet voor ons van toepassing
CA+ is een keurmerk voor papieren archiefvernietiging.
Dat betekent: beveiligd transport, verzegelde containers, centrale verwerking.
Wij doen geen papier en ook geen transport van vertrouwelijke data.
Wij komen op locatie met onze mobiele shredder en vernietigen daar de datadragers onder toezicht van de klant.
Daarom is CA+ simpelweg niet geschikt voor IT-recycling.
Bij ons draait het om harde schijven, SSD’s, USB-sticks, tapes en smartphones — geen dozen vol papier.
🔹 En natuurlijk: de AVG
De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om persoonsgegevens goed te beschermen — ook als je ze wilt verwijderen.
Wanneer je met IT-recycling samenwerkt voor datavernietiging:
- Ben je als klant volledig AVG-proof wat betreft de ingeleverde datadragers
- Treedt IT-recycling op als verwerker van deze gegevens, onder jouw verantwoordelijkheid
- Wordt alle data onomkeerbaar vernietigd, onder controle en met bewijsdocumenten
IT-recycling voldoet zelf ruimschoots aan de AVG:
- We hebben een ISO 27001-systeem voor informatiebeveiliging
- We verwerken persoonsgegevens alleen in opdracht van klanten
- We houden een volledig verwerkingsregister bij
- We hebben een heldere, actuele AVG-verklaring op onze website
Zo weet je zeker dat alles ook juridisch goed geregeld is.
✅ Wat mag je van ons verwachten?
Bij elke datavernietiging ontvang je:
- Certificaat van datavernietiging
- Wie heeft vernietigd
- Wie was verantwoordelijk
- Welke methode is gebruikt
- Volgens welke DIN 66399-categorie
- Lijst van datadragers met serienummers
- Milieucertificaat
- Wie heeft gerecycled
- Wie de verantwoordelijke persoon was
- Volgens welke milieunormen (ISO 14001, Weeelabex)
- Officiële transportdocumenten (voor afvalstromen)
- Factuur – alles transparant vastgelegd
Deze documenten set is voldoende voor elke auditor en voldoet aan de eisen van alle gangbare controle-instanties. Geen grijze gebieden, geen vage beloften — maar gewoon alles zwart-op-wit geregeld.