- Door
- Rashid Niamat
- geplaatst op
- 3 november 2014 08:01 uur
Een van de vragen die ISPam.nl enkele weken geleden tijdens VMworld aan diverse standhouders stelde, was: kun jij garanderen dat mijn data ook echt definitief weg is. De officiële antwoorden op die vraag liepen uiteen en maakten duidelijk dat er verschillend wordt gedacht over het onderwerp datavernietiging.
Het is daarom wellicht goed stil te staan bij de achtergrond van deze vraag. Heel lang is het de gewoonste zaak van de wereld geweest dat bedrijven waar data is opgeslagen, datacenters en providers, maar ook fysieke archieven, de uiterste moeite deden de integriteit van die data te waarborgen. Voor het digitale deel kennen we allemaal de maatregelen zoals toegangscontrole voor datacenters, aparte kooien om ruimtes te beveiligen. Voor de machines en software, patches, updates, inlogprocedures en regelmatige back-ups. Data is op die manier veilig, de opdrachtgever is tevreden en neemt daarmee zorgen bij zijn klanten weg.
Van een andere orde – en dat is vooral begonnen sinds alle virtualiseringsmogelijkheden – zijn de vragen hoe voorkomen kan worden dat data wordt gedupliceerd en hoe data echt vernietigd kan worden. Data definitief stuk maken, daarbij denken de meesten aan het vernietigen van hardware en dan specifiek de dragers zoals HDD en tapes. Het voorkomen dat de duplicaten rondslingeren (helemaal in een cloud omgeving) heeft daarmee te maken. Uit onderzoeken en vooral missers blijkt dat dit toch een andere aanpak vereist.
Alsof dat nog niet lastig genoeg is zijn er twee ontwikkelingen die de discussie over datavernietiging verder voeden. De eerste is het inzicht dat dataminimalisatie de beste manier is om datalekken te voorkomen (zie ook Link). Datalekken, dat zijn die “bedrijfsongevallen” die bedrijven steeds meer geld gaan kosten en bewezen verantwoordelijk zijn voor gedwongen bedrijfssluitingen. De tweede is de ontwikkeling rond wat wordt omschreven als “the right to be forgotten”. Dat laatste is in Europa inmiddels vooral bekend door de Costeja zaak.
Bedrijven die data bezitten zullen zich op grond van de discussie vaker moeten bezig houden met wat inmiddels wordt omschreven met (o.a.) “End-of-Lifecycle-Management”. De partijen die de data beheren (providers, datacenters, archieven) zullen op hun beurt vaker verzoeken ontvangen die haaks lijken te staan wat jarenlang de gouden regel was voor de sector: Uw data is bij ons maximaal veilig opgeslagen. Daarvoor waren ook audits e.d. ingericht. Nu moeten bedrijven dus ook vaker het tegenovergestelde doen en dat kunnen aantonen. Dit klinkt makkelijk. Gelet op de antwoorden die wij van vendors in Barcelona en ook al eerder in Nederland kregen is het echter vooral in gevirtualiseerde omgevingen waarschijnlijk iets lastiger dat menigeen zich realiseert.
