DIN 66399: Dé norm voor veilige gegevensvernietiging

Wat is DIN 66399?

DIN 66399 is een Duitse norm die vastlegt hoe gegevensdragers zodanig vernietigd moeten worden dat de data niet meer te herstellen is. Deze norm vervangt de oudere DIN 32757 en gaat een stuk verder.

Niet alleen wordt gekeken naar het formaat van de versnipperde stukjes, ook de gevoeligheid van de informatie wordt meegenomen in de classificatie.

De DIN normen helpen bedrijven bij het beheersen van risico’s op het gebied van informatiebeveiliging. De DIN 66399 norm is onderdeel van een bredere groep standaarden, maar richt zich specifiek op het beschermen van data via fysieke en digitale vernietiging.

Beschermingsklassen en veiligheidsniveaus

De norm verdeelt gegevensvernietiging in drie beschermingsklassen, elk gekoppeld aan zeven veiligheidsniveaus (niveau 1 t/m 7). Hoe hoger het niveau, hoe kleiner de vernietigde deeltjes en hoe veiliger de vernietiging.

De 7 veiligheidsniveaus van DIN 66399

• Niveau 1: Algemene documenten. Lage veiligheid, voor niet-gevoelige data
• Niveau 2: Interne documenten. Basisbescherming voor intern gebruik
• Niveau 3: Vertrouwelijke data, zoals persoonsgegevens
• Niveau 4: Bijzonder vertrouwelijke informatie, hogere eisen
• Niveau 5: Geheime data, hoge vernietigingsgraad vereist
• Niveau 6: Zeer geheime data, voor gevoelige sectoren
• Niveau 7: Topgeheime informatie, maximale beveiliging, minimale deeltjesgrootte

Beschermingsklasse 1 – Normale bescherming

Deze klasse is bedoeld voor algemene of interne data die voor grote groepen binnen een organisatie toegankelijk is.

• Voorbeelden: interne memo’s, administratieve documenten
• Risico bij datalek: beperkt, maar persoonsgegevens moeten nog steeds beschermd worden
• Persoonsgegevens: moeten nog steeds worden beschermd om risico’s voor privacy of financiële schade te voorkomen
• Toegestane veiligheidsniveaus: 1, 2, 3

Beschermingsklasse 2 – Hoge bescherming

Deze categorie geldt voor vertrouwelijke informatie die alleen toegankelijk is voor een beperkte groep geautoriseerde personen.

• Voorbeelden: personeelsdossiers, klantgegevens, contracten
• Risico bij datalek: gemiddeld tot hoog; kan juridische of financiële gevolgen hebben
• Persoonsgegevens: vereisen strengere bescherming vanwege mogelijke financiële of sociale impact
• Toegestane veiligheidsniveaus: 4, 5

Beschermingsklasse 3 – Zeer hoge bescherming

Voor zeer gevoelige of geheime data die enkel toegankelijk is voor een select aantal personen.

• Voorbeelden: overheidsdocumenten, medische dossiers, geheime bedrijfsinformatie
• Risico bij datalek: ernstig; kan leiden tot juridische overtredingen of veiligheidsrisico’s
• Persoonsgegevens: maximale bescherming nodig vanwege mogelijke gevolgen voor gezondheid, veiligheid of persoonlijke vrijheid
• Toegestane veiligheidsniveaus: 6, 7

Bij niveau 7 worden gegevens zó fijn vernietigd dat herstel vrijwel onmogelijk is. Juist daarom is het volgen van de DIN 66399 normering cruciaal voor organisaties die datalekken willen voorkomen.

Materiaalclassificatie: de PFOTHE-indeling

De norm maakt gebruik van zes materiaal categorieën om aan te geven om welk type gegevensdrager het gaat. Deze worden gecombineerd met een veiligheidsniveau, zoals bijvoorbeeld P-5 of H-3.

• P – Papier en drukwerk (bijv. documenten, boeken)
• F – Filmgebaseerd materiaal (bijv. microfilm)
• O – Optische media (bijv. cd’s, dvd’s)
• T – Magnetische tapes (bijv. cassettes, pasjes)
• H – Harde schijven met magnetische opslag
• E – Elektronische opslag (bijv. USB-sticks, geheugenkaarten)

Per type gegevensdrager gelden verschillende eisen binnen de DIN normen, afhankelijk van het formaat en de gevoeligheid van de data.

ISO-certificering: Waarom dit telt

Wanneer je partner voldoet aan de DIN 66399, is de kans groot dat zij ook beschikken over relevante ISO-certificeringen. Deze internationale normen tonen aan dat processen veilig en duurzaam verlopen.

• ISO 9001: Kwaliteitsmanagement
• ISO 14001: Milieumanagement
• ISO 27001: Informatiebeveiliging

Een partij met alle drie deze certificeringen is betrouwbaarder en volgt doorgaans strikter de richtlijnen van de DIN 66399. Deze certificaten worden jaarlijks extern gecontroleerd en bieden extra zekerheid.

WEEELABEX-conforme recycling

Veel gegevensdragers, zoals USB-sticks of harde schijven, vallen onder de WEEE-richtlijn (afval van elektrische en elektronische apparatuur). Kies daarom altijd een datavernietigingspartner die WEEELABEX-compliant is.

Wat je dan mag verwachten:

• Volledige traceerbaarheid van vernietigde apparatuur
• Milieuvriendelijke verwerking van e-waste
• Naleving van Nederlandse en Europese wetgeving

Dit sluit bovendien aan bij duurzaamheidsdoelstellingen en verantwoord IT-beheer.

Het vernietigingscertificaat: volledige transparantie

Na het vernietigen van data ontvang je bij professionele aanbieders een vernietigingscertificaat. Hierin staat:

• Wat er is vernietigd
• Wanneer en waar dat is gebeurd
• Op welke manier en op welk veiligheidsniveau

Voor organisaties met ISO-certificering is dit vaak essentieel bij audits. Zo bewijs je dat je gegevens hebt vernietigd volgens de juiste normen, waaronder de DIN 66399 normering.

Waarom DIN 66399 belangrijk is

De DIN 66399 norm geeft duidelijke richtlijnen en structuur voor veilige gegevensvernietiging. Met zeven veiligheidsniveaus en drie beschermingsklassen biedt deze norm houvast aan elke organisatie die met gevoelige data werkt.

Als je begrijpt wat het is, hoe de normen werken en je kiest voor een gecertificeerde, transparante en duurzame partner, voorkom je niet alleen datalekken maar voldoe je ook aan je wettelijke én maatschappelijke verantwoordelijkheid.