Patiëntengegevens op gebruikte harde schijf gekocht via eBay
STOP, neem geen risico’s als het om belangrijke gegevens gaat!
Gevoelige gegevens op gebruikte harde schijf
Het is ongelooflijk hoeveel uiterst gevoelige gegevens je in handen krijgt als je een harde schijf aanschaft op eBay…
Bij een routinecontrole van een gebruikte harde schijf bestemd voor de eigen reservevoorraad is datarecovery-expert Attingo bij toeval gestuit op gevoelige patiëntengegevens van een Oostenrijkse organisatie voor spoedeisende medische hulpverlening. De harde schijf was door Attingo gewoon gekocht via de online handelsplaats eBay. Hoewel de verkoper duidelijk had geprobeerd om de schijf te wissen door deze opnieuw te formatteren, konden de datarecovery-specialisten complete gegevensbestanden terugvinden. Naast patiëntengegevens en contactadressen bevatte de schijf ook foto’s van ongevallen. Robbert Brans, bedrijfsleider van Attingo: “Als deze harde schijf in verkeerde handen terecht was gekomen, had dit zeker kunnen leiden tot een poging tot afpersing of een andere vorm van gegevensmisbruik.” Attingo zal de patiëntengegevens op vakkundige wijze vernietigen.
Goudmijn: gebruikte vaste schijven
“Dit is helaas niet de eerste keer dat wij gevoelige informatie tegenkomen op een gebruikte harde schijf die via een regulier kanaal is aangeschaft”, vertelt Brans. “Om ervoor te zorgen dat veelgebruikte onderdelen altijd op voorraad zijn, hebben wij een magazijn met tienduizenden reserveonderdelen. Zo kopen wij ook op grote schaal gebruikte vaste schijven. Hierop hebben we inmiddels al van alles gevonden: brieven van advocaten, asieldossiers en zelfs onderzoeksresultaten.”
Uit oogpunt van wettelijke gegevensbescherming is het op de juiste wijze vernietigen van gegevens net zo belangrijk als het afdoende beveiligen van opgeslagen informatie. Iedereen is namelijk verantwoordelijk voor “zijn gegevens” zolang deze zich nog op een gegevensdrager bevinden. “Ook als de betreffende gegevensdrager na gebruik wordt doorverkocht”, legt Brans de vinger op de zere plek.
Vakkundig vernietigen van gegevens
Binnen veel ondernemingen hebben het vakkundig vernietigen van gegevens en het op veilige wijze afdanken van vaste schijven nog steeds geen prioriteit, zo weten de datarecovery-specialisten uit ervaring. Hier komt nog bij dat het volledig wissen van gegevens technisch gezien vrijwel onmogelijk is; ook gerenommeerde wisprogramma’s krijgen dit doorgaans niet voor elkaar. Volgens Brans bieden alleen fysieke vernietiging van de schijf in een shredder, verhitting van de schijf tot 800 graden in een speciale oven of de gang naar een specialist voldoende garanties dat gegevens niet meer zijn te achterhalen. Daarom staat Attingo klanten al jaren niet alleen bij met datarecovery-oplossingen, maar ook met het controleren van gewiste vaste schijven. Vooral banken, organisaties in de gezondheidszorg en overheidsinstanties maken hier graag gebruik van. Brans: “In het begin schrikken klanten zich wezenloos als ze erachter komen dat ook uiterst vertrouwelijke gegevens op zogenaamd ‘gewiste’ vaste schijven vaak zonder meer teruggehaald kunnen worden.”
Waarom wisprogramma’s niet alles wissen
Er zijn talloze commerciële wisprogramma’s op de markt. Bijna allemaal beloven ze dat eenmaal gewiste gegevens nooit meer zijn terug te halen. Helaas is dit niet waar: vaste schijven zijn zo geconstrueerd dat het volledig vernietigen van gegevens technisch gezien vrijwel onmogelijk is, óók met gecertificeerde software. Dit heeft vooral te maken met secties van de schijf die tijdens het gebruik defect zijn geraakt. Zodra zich in een sectie een defect voordoet, worden de gegevens naar een vervangende sectie gekopieerd en de defecte sectie via elektronische weg geblokkeerd. Tot deze geblokkeerde secties heeft het systeem geen toegang meer – zelfs niet als de schijf met een hiervoor bestemd programma wordt “gewist”. De gegevens op geblokkeerde secties zijn nog gewoon fysiek aanwezig en kunnen via een speciale procedure worden uitgelezen. Bij een harde schijf van één TB nemen deze secties vaak honderden MB in beslag. Dit betekent dat grote aantallen bestanden niet daadwerkelijk worden gewist. Onlangs heeft Attingo een programma voor het wissen van gegevens getest dat als beste uit een vergelijkend onderzoek was gekomen. Het resultaat? Zelfs de gewoon toegankelijke secties werden niet voor 100 procent gewist. U kunt zich voorstellen hoe het dan is gesteld met het wissen van de geblokkeerde secties…
Fysieke vernietiging van de harde schijf
Conclusie: Gegevens volledig wissen is technisch gezien haast onmogelijk
In het geval van gevoelige gegevens blijft fysieke vernietiging van de harde schijf de veiligste methode.