Elk toestel is een aansprakelijkheid tot het gewist is. Ja, ook dat.

Een pallet komt woensdag om 09:15 aan je dock. Veertig toestellen. Vooral laptops. Enkele desktops. Een telefoon die er niet hoort te zijn, maar er wel is. De levernota zegt "IT equipment — end of lease". Ze zegt niet wiens data op de drives staat. Dat doet ze nooit.

Maar jij weet het. Je weet het omdat je dit lang genoeg doet om te begrijpen dat de Dell Latitude van de financiële dienstverlener klantrekeninggegevens kan bevatten. De HP EliteBook van het ziekenhuis kan patiëntendossiers bevatten. De ThinkPad van het advocatenkantoor kan dossiers bevatten die het nieuws halen als ze lekken. De telefoon — de telefoon kan alles bevatten, en telefoons zijn erger dan laptops omdat mensen ze behandelen als verlengstukken van hun brein.

Elk toestel op die pallet is een liability. Geen theoretische liability. Een juridische, financiële, carrièrevernietigende liability die op je dock staat en eruitziet als onschuldige hardware, tot iemand een USB-stick inplugt en begint te bladeren.

De liability-gradient

Niet alle liabilities zijn gelijk. Een laptop van een boekhoudkantoor met QuickBooks-data is een probleem. Een laptop van een defensiecontractor met geclassificeerd materiaal is een crisis. Een medisch toestel met onversleutelde patiëntendossiers is een HIPAA-overtreding die wacht om te gebeuren. Een executive laptop met financiële forecasts voor de raad van bestuur is bewijs voor insider trading.

Je intakeproces moet die gradient begrijpen. De receiving-operator die toestellen aan het dock scant, moet weten — niet gokken, weten — welke toestellen data dragen en welk gevoeligheidsniveau ze hebben. "Het is een laptop" is geen risicoanalyse. "Het is een laptop van een Tier 1 financial institution met full-disk encryption die mogelijk wel of niet aan stond, herkomst: Londen, dataclassificatie: onbekend" is het begin van een risicoanalyse.

Datadragende toestellen markeren bij check-in is niet optioneel. Het is de eerste stap in een keten die eindigt met een wiscertificaat, en als die eerste stap wordt overgeslagen — als een toestel je magazijn binnenkomt zonder als datadragend te zijn geïdentificeerd — is elke volgende stap gecompromitteerd.

Het gevaarlijkste toestel in je magazijn is het toestel dat niemand als datadragend markeerde. Want dat is het toestel dat niemand volgt.

De klok start aan het dock

Vanaf het moment dat een datadragend toestel je faciliteit binnenkomt, begint een klok te lopen. Geen metaforische klok. Een complianceklok. De tijd tussen aankomst en bevestigde datavernietiging is een blootstellingsvenster — een periode waarin gevoelige data onder jouw bewaring bestaat zonder te zijn gesaneerd.

Elke dag dat dat venster open blijft, verhoogt je risico. Het toestel kan gestolen worden. Het kan verkeerd geplaatst worden (zie: Op zoek naar verloren pallets). Het kan buiten volgorde verwerkt worden en in outbound belanden voor gegevenswissing. Het kan drie weken in een queue blijven omdat het testingteam achterloopt en niemand triage deed op datagevoeligheid.

Time-to-erasure per toestel volgen — hoelang elk datadragend asset tussen intake en bevestigde wipe blijft zitten — is geen nice-to-have metric. Het is een risicometing. Een toestel dat 48 uur blijft zitten is aanvaardbaar. Een toestel dat 21 dagen blijft zitten is een compliance finding in wording. Je systeem moet dit volgen. Je SLA's moeten het weerspiegelen. Je dashboard moet het tonen.

Het certificaat is de uitgang

De liability eindigt wanneer het wiscertificaat is gegenereerd, geverifieerd en aan het toestel is gekoppeld. Niet wanneer iemand zegt "het is gewist". Niet wanneer de erasuresoftware klaar is. Wanneer het certificaat — per drive, met serienummers, wismethode, verificatiestatus en timestamp — aan het assetrecord hangt en beschikbaar is voor audit.

Tot dat certificaat bestaat, is het toestel een liability onder jouw zorg. Zodra dat certificaat bestaat, is het clean hardware met een gedocumenteerde historiek. Het verschil tussen die twee toestanden is het verschil tussen een risico en een asset. En in ITAD is risico's omzetten in assets letterlijk de job.

Die pallet aan je dock bevat iemands financiële records, iemands medisch dossier, iemands juridische correspondentie en een telefoon die meer over de vorige eigenaar weet dan die vorige eigenaar prettig zou vinden. Elk van die toestellen is een liability. Elk blijft een liability tot het tegendeel bewezen is, per drive, per certificaat, per timestamp. Het bewijs is het product. De rest is logistiek.