De laptop met twee SSDs en nul certificaten

Dit is een leuk gesprek om op maandagochtend om 9 uur met je compliance-team te voeren:

"Hoeveel erasure certificates maken we per device?"

"Eén per device. Uiteraard."

"En hoeveel storage devices heeft een Dell Latitude 5430?"

"Eén. Het is een laptop. Die heeft één drive."

"Check de spec sheet."

"...Twee. Hij heeft twee NVMe-slots. En onze configuratie gebruikt ze allebei."

"Dus hoeveel erasure certificates zouden we moeten hebben voor 340 stuks?"

Stilte. Het soort stilte dat geld kost.

De per-device denkfout

De meeste ITAD-systemen volgen erasure op device-niveau. "Laptop RV-003412: gewist." Eén device, één status, één checkbox. Simpel. Netjes. Gevaarlijk incompleet.

Een moderne Dell Latitude kan twee NVMe SSD's hebben. Een HP EliteBook 850 heeft soms een NVMe plus een SATA-drive. Een Dell PowerEdge-server kan twaalf drives hebben. Een storage array? Vraag maar niet.

Wanneer je systeem zegt "device gewist", betekent dat: iets is gewist. Waarschijnlijk de primaire drive. Misschien allebei. Misschien. Je hoopt het. Het systeem weet het niet, want het systeem volgt devices, geen storage media.

Je ADISA-auditor volgt wél storage media. Omdat ADISA begrijpt dat data niet op laptops leeft. Data leeft op drives. En een laptop met twee drives maar één erasure certificate heeft een gat. Een gat dat er voor een compliance-auditor uitziet als een liability. Omdat het dat ook is.

Per-device erasure tracking is alsof je aanwezigheid opneemt door bureaus te tellen in plaats van mensen. Het aantal kan kloppen. Maar waarschijnlijk niet. En als het niet klopt, kan niemand je vertellen wie ontbreekt.

680 certificaten, niet 340

Laten we rekenen op een realistisch scenario. Een leasingmaatschappij retourneert 340 Dell Latitude 5430's. Elk device heeft twee NVMe-drives. Dat zijn 680 individuele storage devices die onafhankelijk moeten worden gewist, geverifieerd en gecertificeerd.

Je systeem genereert 340 certificaten. Eén per laptop. De auditor vraagt er 680. Jij kunt er 340 tonen. Waar zijn de andere 340?

"We hebben een proces."

"Is dat gedocumenteerd?"

"...We hebben een spreadsheet."

Die spreadsheet heeft uiteraard 280 entries in plaats van 340, omdat iemand vergat de laatste twee werkdagen te loggen. De auditor schrijft een finding. De finding wordt een actiepunt. Het actiepunt wordt een project. Het project wordt een budgetlijn. Allemaal omdat het systeem laptops telde in plaats van drives.

Het wordt erger met moderne hardware

De laptop met twee SSD's is nog maar het begin. Moderne hardware wordt complexer, niet eenvoudiger.

Intel Optane-modules zitten naast NVMe-drives en cachen zelfstandig data. Sommige zakelijke laptops hebben eMMC-storage voor het OS plus NVMe voor user data. Workstations kunnen drie of vier drives hebben in verschillende configuraties. En servers — servers zijn een eigen universum, met RAID-controllers die fysieke drives abstraheren naar logische volumes die wel of niet overeenkomen met de echte media die gesanitized moeten worden.

De update van NIST 800-88 uit 2025 adresseert deze complexiteit expliciet. IEEE 2883-2022 gaat verder, met sanitization guidance specifiek voor SSD's, NVMe-drives en embedded storage. Beide standaarden leggen nadruk op per-media verificatie. Niet per-device. Per-media.

Als je systeem niet op dat detailniveau kan tracken, is je systeem niet gewoon oud. Het is gebouwd voor een wereld waarin laptops één harde schijf hadden en servers twee. Die wereld eindigde ongeveer vijf jaar geleden. De compliance-standaarden zijn bijgebeend. Is je systeem dat ook?

De certificaatketen

Een correct erasure record voor die Dell Latitude 5430 zou er ongeveer zo uit moeten zien:

Device: Dell Latitude 5430 — RV-000003412
Storage Device A: WD SN740 512GB — SN: WD-2026-44821
Erasure method: NIST 800-88 Purge
Completed: 2026-03-03 at 14:22:07 CET
Verified: Pass
Certificate: BLC-2026-44821

Storage Device B: WD SN740 256GB — SN: WD-2026-44822
Erasure method: NIST 800-88 Purge
Completed: 2026-03-03 at 14:24:31 CET
Verified: Pass
Certificate: BLC-2026-44822

Twee drives. Twee erasure events. Twee verificaties. Twee certificaten. Gekoppeld aan één device. Gekoppeld aan één inbound order. Gekoppeld aan één klant. Dat is de keten. En elke schakel telt, want de auditor kan aan eender welke schakel trekken en verwachten dat de rest volgt.

De laptop met twee SSD's is geen edge case. Het is de nieuwe norm. En het gat tussen per-device tracking en per-drive tracking is geen theoretisch compliance-risico. Het is een praktisch risico — het soort dat tijdens audits opduikt, findings veroorzaakt en geld kost.

Je auditor kan tellen. De vraag is of je systeem op dezelfde manier kan tellen.