Afgeschreven IT-apparatuur wegdoen? Vermijd deze valkuilen

By: Brooks Hoffman

Misschien heeft uw bedrijf weleens tweedehands telefoons of laptops gekocht, om vervolgens te ontdekken dat die nog vol stonden met persoonlijke gegevens van de vorige eigenaars. Of u heeft gelezen over enorme concerns die miljoenen aan boetes moesten betalen vanwege het verkeerd afvoeren van hun IT-middelen. Of misschien hoorde u slecht nieuws over vuilstortplaatsen in ontwikkelingslanden die vol liggen met afgedankte elektronica. Verwoestend voor de regio’s én een aantrekkelijke plek voor cybercriminelen, want tussen het afval ligt de waardevolle informatie voor het grijpen.

Bedrijven besteden vaak de meeste aandacht aan het verzamelen van genoeg IT- apparatuur. Maar wat gebeurt er als die middelen het einde van hun levensduur bereiken en nog informatie bevatten over de organisatie en haar klanten? Dit zien ze vaak als een bijzaak.

Een nieuwe kijk op het afvoeren van uw IT-middelen, ofwel IT Asset Disposition (ITAD), is cruciaal want u krijgt met steeds meer afgeschreven apparatuur te maken. Devices gaan korter mee, technologie ontwikkelt zich sneller en meer bedrijven stappen over naar de cloud. Door de juiste keuzes rond uw ITAD-strategie kunt u bedrijfsrisico's beperken en tegelijkertijd het milieu beschermen.

E-Waste: De snelst groeiende afvalstroom

Wereldwijd produceren we elk jaar zo'n 53 miljoen ton elektronisch afval (e-waste). Een hoeveelheid die volgens de Verenigde Naties tegen 2050 meer dan verdubbeld zal zijn. Daarmee is e-waste de snelst groeiende afvalstroom ter wereld. IT – niet alleen het energieverbruik, maar de hardware zelf – is nu een belangrijk onderdeel van onze ecologische voetafdruk. En nog een giftig onderdeel ook: zware metalen (kwik, lood, cadmium en meer) kunnen uit deze apparaten lekken en in het ecosysteem terechtkomen, wat tot allerlei problemen leidt. Het is dan ook niet gek dat steeds meer landen geen elektronisch afval meer accepteren. Thailand stopte bijvoorbeeld vanaf september 2020.

Security en juridische uitdagingen

E-waste brengt ook veiligheids- en juridische problemen met zich mee. Zo’n 25 staten van Amerika hebben wetten aangenomen die een zekere mate van recycling van elektronica voorschrijven. Daarnaast staan er boetes op een slecht recyclingproces. Ook het Canadese Ontario heeft nieuwe voorschriften rond elektronisch afval, met als doel een recyclingpercentage van 70% te halen. En er zijn veel wetten en voorschriften op het gebied van privacy en gegevensbescherming die gevolgen hebben voor de afvoer van IT-middelen, waaronder internationale wetgeving. Bedrijven die onder de General Data Protection Regulation (GDPR, of in het Nederlands de AVG) vallen, krijgen bijvoorbeeld zware boetes opgelegd voor niet-naleving. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van de ernst en de omstandigheden van de overtreding.

Typische fouten rond ITAD

Duidelijke procedures voor veilige ITAD zijn essentieel, maar een foutje is snel gemaakt.
Trap niet in deze valkuilen:

ITAD te simpel maken

Veel bedrijven zien het wegdoen van verouderde IT-hardware als een no brainer: gewoon alles wissen en wegbrengen. Helaas is het niet zo simpel. Voor het wissen, versnipperen en demagnetiseren zijn beproefde en efficiënte procedures nodig. Gewoon deleten, formatteren of resetten verwijdert de gegevens niet altijd. Als de data niet goed worden opgeschoond of als een opslagmedium niet op de juiste manier wordt vernietigd, is er nog steeds risico op een datalek.

Itad aan IT overlaten

Het lijkt misschien vanzelfsprekend om ITAD aan uw IT-personeel over te laten, maar dat is niet altijd het geval. Bij het veilig afvoeren van IT-apparatuur komen technische, juridische, logistieke en administratieve aspecten kijken. Uw IT-afdeling heeft daarvoor mogelijk niet genoeg kennis en vaardigheden. Denk aan:

• Coördinatie met de mensen en afdelingen die afhankelijk zijn van de gegevens en de afgeschreven apparaten
• Implementeren van de specifieke procedures die nodig zijn om alle bestaande gegevens volledig te wissen
• Beoordelen of de beheerketen (het bijhouden wie wanneer toegang had tot de devices) accuraat wordt vastgelegd
• Evalueren van de milieu- en securityreferenties van een externe leverancier

Natuurlijk speelt IT een rol bij ITAD, maar ook andere beheerders, afdelingen en het hogere management zijn betrokken.

Uw wettelijke aansprakelijkheid onderschatten

Nu de hoeveelheid e-waste toeneemt, groeien ook de wet- en regelgeving op dit gebied en de boetes voor niet-naleving ervan. Een financiële dienstverlener kreeg onlangs een boete van 60 miljoen dollar voor het verkeerd buiten gebruik stellen van twee datacenters.

En dat was lang niet de enige die de fout in ging. U moet ook niet alleen rekening houden met de wet- en regelgeving voor e-waste. Zoals gezegd valt e-waste ook onder de GDPR/AVG, industrienormen zoals PCI-DSS, en voorschriften zoals HIPAA, de MEGABYTE Act en Sarbanes-Oxley (SOX).

Vertrouwen op een gratis dienst

Er zijn bedrijven die ITAD-diensten gratis of zeer goedkoop aanbieden, waarbij zij meestal beweren dat zij hun kosten dekken door de doorverkoop van uw apparaten. Maar zoals met alles krijgt u waar u voor betaalt. Een gratis of goedkope ITAD-leverancier doet waarschijnlijk een of meer van de volgende dingen:

• Beknibbelen op zaken als een veilige beheerketen (chain of custody) of de controle dat de gegevens op alle apparaten zijn vernietigd
• Vasthouden aan inkomsten uit het recyclen van uw apparatuur, waardoor de service helemaal niet gratis is
• Uw apparatuur op een milieuonvriendelijke manier afvoeren (zoals verschepen of dumpen op stortplaatsen in eigen land).

Kortom, u bespaart misschien geld op de zeer korte termijn, maar u brengt uw bedrijf in gevaar en draagt bij aan de negatieve milieueffecten die recycling juist vermijdt.

De beheerketen negeren

U zou een juridisch onderwerp als de beheerketen misschien niet associëren met ITAD, maar het is wel de sleutel tot succes. Of u ITAD nu zelf regelt of een externe partij inschakelt, u hebt een volledige registratie nodig van waar en naar wie uw IT-apparaten zijn gegaan. Hiermee toont u aan dat uw ITAD-proces verantwoord en compliant was, zowel op het gebied van milieu als beveiliging.

Bovendien is er nog een voordeel van een veilige beheerketen: deze ontmoedigt diefstal. Diefstal van apparatuur tijdens ITAD kan een serieus probleem zijn. Hoe kleiner en waardevoller een item, hoe groter de kans dat het verdwijnt. En dieven zullen minder snel een item proberen te stelen waarvan ze weten dat het wordt getraceerd.

Dit zijn allemaal valkuilen waar zelfs de meest welwillende organisatie soms in trapt. Maar de grootste valkuil van allemaal? Dat is het afvoeren van afgeschreven IT-middelen als een bijzaak zien.

Beschouw ITAD in plaats daarvan als een cruciaal onderdeel van uw informatiebeheer, dat essentieel is voor de bescherming van uw gevoelige informatie en het milieu.

Brooks Hoffman is lid van het Product Management-team van Iron Mountain's dienst Secure IT Asset Disposition (SITAD). Voordat hij bij Iron Mountain kwam, was hij medeoprichter en CFO van het Amerikaanse LifeSpan, een bedrijf voor de afvoer van IT- apparatuur.