BLOG – We praten er al heel lang over: het maken van databackups. Wat jaren niet leefde in de digitale mindset van bedrijven (en ook consumenten), is tegenwoordig even cruciaal als het geregeld veranderen van je wachtwoorden. Met betrekking tot de vraag die niemand graag beantwoordt: waar gaan data naartoe wanneer ze niet meer nodig zijn? Omdat data niet als sneeuw voor de zon verdwijnen, is het geregeld uitvoeren van een backup (en het verwijderen van oude data) een noodzaak.
Vroeger herstelde ik zelf gegevens van gebruikte harde schijven. Wat ik daarop aantrof, waren digitale levens van vervlogen tijden. Denk aan belastingdocumenten, maar ook bedrijfsplannen en medische informatie. Alles stond er (uiteraard) nog. Onbeveiligd, en onzorgvuldig achtergelaten in de digitale krochten van mijn hardware.
Vandaag de dag is de situatie nog erger. Data zijn namelijk overal. In de cloud, op laptops, smartphones, usb-sticks en gedeelde schijven én op apparaten waar we nauwelijks (meer) aan denken. Het risico beperkt zich niet tot oude hardware die in ergens in een kast tussen oude ordners en stapels nog te ordenen facturen ligt. Het gaat om actieve en passieve data die zich op systemen bevinden die we niet meer bijhouden, uit het oog zijn verloren of simpelweg niet meer op ons netvlies staan.
De hamvraag blijft: wanneer bedrijven systemen upgraden, apps sluiten of medewerkers zien vertrekken, wat gebeurt er dan met de achtergebleven data? Wissen we die op een veilige manier? En wordt er een inventaris bijgehouden? Want als je niet weet waar je data zijn, weet je ook niet waar die uiteindelijk terechtkomen.
Het is met klem aan te raden om iedereen een backup van zijn/haar data te laten maken. Maar bedenk je dan ook wat je achterlaat. Want vergeten data blijven bestaan (en die zijn nog altijd terug te halen).
Om te voorkomen dat je (bedrijfsgevoelige) data je later achtervolgen, drie tips:
- Maak een volledige datainventaris
Je kunt niet beveiligen of verwijderen wat je niet weet dat bestaat. Begin met een volledige audit – houd bij waar data zich bevinden, van clouddiensten en apparaten tot backups en zelfs persoonlijke hardware van jouw medewerkers;
- Integreer dataverwijdering in elk offboarding- en upgradeproces
Of het nu gaat om een vertrekkende medewerker of een systeem dat wordt uitgefaseerd: zorg voor een proces om data veilig te wissen of te vernietigen. Dit moet net zo standaard zijn als het inleveren van een badge of laptop.
- Automatiseer bewaar- en vernietigingsbeleid
Gebruik tools die regels voor dataretentie afdwingen. Data die niet meer nodig zijn, mogen niet blijven bestaan ‘voor het geval dat’. Automatiseer veilige verwijderingsschema’s en geef gevoelige data een digitale vervaldatum.
En tot slot: succes is een keuze.
Rob Lee, chief of research & head of faculty Sans Institute
Op de hamvraag kan ik vanuit de praktijk wel een antwoord geven: NIETS. Dumpen van files in een groepsshare en het maken van een back-up bij offboarding gaat om het bewaren van data, niet om het classificeren naar een bedrijfsbelang (doelbinding). En de AI Act, AVG en CSRD vormen dwingende redenen om back-up data voortaan expliciet te classificeren. Vooral wanneer hergebruik voor AI mogelijk is want wat ooit “alleen een back-up” was is nu potentieel risicovolle data die juridische en reputatieschade kan opleveren. Misschien heeft chief of research een idee over hoeveel back-up systemen disconnected zijn van de DLP policies.