NIST 800-88 is bijgewerkt en niemand heeft het je verteld

Als je dit leest, is de kans redelijk groot dat je datasaneringsproces gebaseerd is op een versie van NIST 800-88 die geschreven werd toen de meeste laptops nog draaiende harde schijven hadden. Dat is geen belediging — het zegt vooral hoe snel opslagtechnologie beweegt en hoe traag complianceprocessen bijwerken.

De revisie van 2025 van NIST SP 800-88 (Guidelines for Media Sanitization) veranderde het basisframework niet. Clear, Purge en Destroy blijven de drie categorieën. De hiërarchie is dezelfde. De logica is dezelfde. Wat veranderde, is het detail — en in compliance bepaalt het detail of je slaagt of faalt.

Wat er echt veranderde

Richtlijnen voor moderne opslagmedia: De oorspronkelijke standaard was geschreven voor HDD's. De revisie erkent dat SSD's, NVMe-drives, embedded storage en controllergebaseerde architecturen niet reageren op dezelfde saneringsmethodes. Een SSD die met HDD-technieken is "overschreven", kan nog data bevatten in over-provisioned cellen. De revisie benoemt dit expliciet.

Verificatievereisten: "We hebben gewist" is niet genoeg. De revisie versterkt de verwachting dat sanitization wordt geverifieerd — dat na de purge- of clear-operatie een verificatiestap bevestigt dat de data echt weg is. Dat klinkt vanzelfsprekend. In de praktijk slaan veel operaties verificatie over omdat de erasuresoftware "complete" zegt en iedereen aanneemt dat dit "verified" betekent. Dat is niet zo. Completion en verification zijn verschillende stappen.

Documentatie per medium: De nadruk op documentatie per toestel is verfijnd naar documentatie per medium. Een toestel met twee storage devices heeft twee sanitization records nodig. Dit sluit aan bij IEEE 2883-2022 en adresseert het "laptop met twee SSD's"-probleem dat veel operaties nog niet hebben opgelost (zie: eerder artikel, ongemakkelijke stiltes).

Audit trail-vereisten: De revisie legt meer nadruk op auditability. Verifieerbare logs, automatisering, gedocumenteerde controles. De verwachting is dat je niet alleen kunt aantonen dat sanitization gebeurde, maar dat ze gebeurde volgens je gedefinieerde proces, door een bevoegde persoon, met een goedgekeurde methode en met geverifieerde resultaten.

De NIST-revisie van 2025 verandert niet wat je zou moeten doen. Ze verandert wat je moet bewijzen dat je doet. En voor veel operaties is dat een grotere verschuiving dan het klinkt.

IEEE 2883-2022: de standaard waar niemand over praat

Terwijl iedereen naar NIST 800-88 kijkt, verdient een begeleidende standaard aandacht: IEEE 2883-2022 (Standard for Sanitizing Storage). Deze standaard verfijnt en breidt het NIST-model uit specifiek voor moderne opslagapparaten.

Wat IEEE 2883 toevoegt:

Technologiespecifieke methodes. NIST geeft categorieën (Clear, Purge, Destroy). IEEE 2883 geeft specifieke methodes voor specifieke mediatypes. NVMe-drives krijgen eigen sanitization commands. SATA SSD's ook. Embedded storage krijgt aparte behandeling. De tijd van "één methode voor alles" is voorbij.

Door fabrikanten ondersteunde commands. De standaard benadrukt het gebruik van de eigen sanitization commands van het opslagapparaat in plaats van softwarematige overwrite-methodes. Voor NVMe-drives betekent dit Format NVM of Sanitize gebruiken in plaats van nullen schrijven. Dat is belangrijk omdat softwaremethodes over-provisioned zones kunnen missen die de firmware van de drive kent maar het hostsystem niet.

Duurzame uitkomsten. IEEE 2883 moedigt expliciet hergebruik en recyclage aan wanneer dit verenigbaar is met securityvereisten. Destroy is de laatste optie, niet de default. Dat sluit aan bij de circulaire economie in ITAD en betekent dat correct gepurgede toestellen met vertrouwen terug de markt op kunnen.

Wat dit betekent voor je proces

Als je sanitizationproces eruitziet als "erasure software draaien, vakje aanvinken, verder", heb je gaten. Niet noodzakelijk grote. Maar het soort gaten dat in audits opduikt en tijd kost om te herstellen.

Begin bij de basis. Kun je deze vragen beantwoorden voor elk datadragend toestel dat je verwerkt?

Welke sanitization-methode is gebruikt? Was die passend voor het mediatype? Is het resultaat onafhankelijk geverifieerd? Is die verificatie gedocumenteerd? Kun je dit traceren per opslagapparaat, niet alleen per machine? Is het proces gedocumenteerd en auditable? Is de persoon die het uitvoerde getraind en bevoegd?

Als je op alles vol vertrouwen "ja" antwoordt, loop je voor. Als je ergens "waarschijnlijk" of "ik denk het" antwoordt, heeft de revisie van 2025 de lat net gelegd waar je huidige proces barsten vertoont.

NIST 800-88 is bijgewerkt. IEEE 2883 bestaat. De standaarden halen de technologie in. De vraag is of je proces de standaarden inhaalt. Want je auditor leest de nieuwe revisie zeker. Waarschijnlijk al sinds publicatie. En hij heeft vragen.