Dataradering vid IT-återvinning: metoder, standarder och intyg

IT-skrot 3 min läsning
Dataradering vid IT-återvinning: metoder, standarder och intyg

Säker dataradering vid IT-återvinning innebär att all lagringsmedia antingen raderas med certifierad mjukvara enligt en erkänd standard — i praktiken oftast NIST SP 800-88 — eller destrueras fysiskt, och att hanteringen dokumenteras i ett intyg, helst per enhet med serienummer. Ansvaret för personuppgifterna ligger enligt GDPR kvar hos er organisation tills raderingen är genomförd, oavsett vem som fysiskt har diskarna. Därför är datahanteringen den del av en IT-avveckling där ni bör ställa hårdast krav.

Varför “formatera och slänga” inte räcker

Att radera filer eller formatera om en disk tar inte bort datat — det tar bara bort hänvisningarna till det. Innehållet ligger kvar och kan ofta återskapas med standardverktyg. För en privatperson är risken kanske teoretisk; för ett företag med kunddata, personaluppgifter eller affärshemligheter är den ett konkret regel- och säkerhetsproblem. Detsamma gäller diskar som “ändå ska skrotas”: fram till destruktionen är de bärbara kopior av er information.

Metoderna: radering, avmagnetisering och destruktion

Certifierad mjukvaruradering

Raderingsprogramvara skriver över lagringsytan och verifierar resultatet. Den vanligaste referensen är NIST SP 800-88 (Guidelines for Media Sanitization), som skiljer på nivåerna clear och purge. Seriösa raderingsverktyg loggar varje enhet med serienummer, metod och resultat — det är dessa loggar som ligger till grund för intyget. Fördelen med mjukvaruradering är att disken (och därmed datorn) kan återbrukas, vilket både är bättre miljömässigt och kan höja partiets värde.

Avmagnetisering (degaussing)

En kraftig magnetpuls förstör datat på magnetiska medier — traditionella hårddiskar och band. Viktigt: avmagnetisering fungerar inte på SSD:er och flashminnen, eftersom de inte lagrar data magnetiskt. Metoden gör dessutom hårddisken obrukbar, så inget återbruk är möjligt.

Fysisk destruktion

Diskarna mals, klipps eller pressas så att lagringsmediet förstörs. För SSD:er är fragmentering till små bitar den säkra vägen, eftersom minneskretsarna i sig måste förstöras. Destruktion väljs ofta för trasiga diskar (som inte kan raderas med mjukvara), för media med särskilt känsligt innehåll eller när intern policy kräver det. Materialet går därefter till metallåtervinning.

Vilken metod ska ni välja?

  • Fungerande diskar i utrustning med restvärde: certifierad radering — bevarar värdet
  • Trasiga diskar: fysisk destruktion
  • SSD:er: certifierad radering eller fragmentering — aldrig enbart avmagnetisering
  • Höga sekretesskrav: radering följd av destruktion förekommer som dubbel åtgärd

GDPR: ansvaret följer uppgifterna, inte hårdvaran

Enligt dataskyddsförordningen är er organisation personuppgiftsansvarig för uppgifterna på utrustningen även efter att den lämnat huset. Det innebär i praktiken:

  • Avtala skriftligt om hur lagringsmedia hanteras — metod, plats, tidsram
  • Säkerställ spårbarhet i hela kedjan: räknade och listade enheter vid överlämning, förseglade kärl vid transport, avstämning mot intyg efteråt
  • Spara intygen som bevis på att uppgifterna raderats på ett betryggande sätt

Ett dataintrång som beror på slarvigt avvecklade diskar kan vara anmälningspliktigt till Integritetsskyddsmyndigheten — dokumentationen är ert skydd.

Det här ska ett bra raderingsintyg innehålla

Kräv intyg som minst anger:

  • Vilka enheter som hanterats — typ och serienummer per enhet
  • Metod (raderingsstandard och verktyg, alternativt destruktionssätt)
  • Resultat — att raderingen verifierats, eller att enheten destruerats
  • Datum och utförande aktör
  • Avvikelser — t.ex. diskar som inte kunde raderas och därför destruerats

Stäm av intyget mot er egen inventarielista. Differensen ska vara noll.

Radering på plats eller hos aktören?

Båda förekommer. Radering eller destruktion på plats hos er ger kortast kedja och passar verksamheter med höga sekretesskrav. Hantering hos aktören är ofta praktiskt vid större volymer — då är förseglade, plomberade kärl och kvitterad överlämning det som upprätthåller spårbarheten under transporten. Vilket upplägg som passar er beskriver ni i förfrågan, så föreslår nätverkets uppkopplade återvinnare lösningar och lämnar priser därefter.

Sammanfattning

Säker dataradering är en process, inte en knapptryckning: rätt metod per medietyp, spårbarhet i varje led och intyg som går att stämma av mot er inventarielista. Med det på plats kan resten av utrustningen tryggt gå vidare till återbruk och materialåtervinning — som en del av en ordnad IT-avveckling. Gör en gratis förfrågan och ange era raderingskrav, så återkommer aktörer i nätverket med upplägg och dagsaktuella priser.

Se även: Regler vid försäljning av IT-skrot och Sortera IT-skrot rätt inför försäljning.

Har ni skrot att sälja?

En förfrågan → priser från flera uppkopplade skrotgårdar i nätverket.

Begär offert