Uw inkoopteam keurt een nieuwe ITAD-leverancier goed, wiens aanbod drie logo's voor naleving bevat: R2v3 gecertificeerd, NAID AAA gecertificeerd en NIST 800-88 compliant.
Iedereen herkent de namen en knikt. De presentator zegt “volgende dia”.”
Maanden later vraagt u wat er is gebeurd met de gegevens op uw partij oude Micron 7450 MAX's. Niemand weet het. De leverancier heeft een ruw idee maar kan niet het concrete antwoord geven dat u nodig hebt.
Compliance is geen binaire status. Je moet verder kijken dan de logo's om ervoor te zorgen dat de compliance- en beveiligingsstandaarden voldoen aan je behoeften.
Drie standaarden om drie verschillende problemen op te lossen
Laten we beginnen met gewoon Engels:
| Standaard | Wat het is | Het helpt ... | Wat het niet garandeert |
| NIST SP 800-88 | Richtlijnen voor het opschonen van media van NIST | Welke ontsmettingsaanpak past bij een mediatype en de vertrouwelijkheidsbehoefte | Of een verkoper gecertificeerd, geauditeerd of operationeel gedisciplineerd is |
| NAID AAA | Certificering door derden voor veilige leveranciers van vernietigingsdiensten | Of een vernietigingsbedrijf wordt gecontroleerd op basis van de verwachtingen op het gebied van beveiliging en due diligence op het gebied van regelgeving | Of de leverancier een breder ITAD-, hergebruik-, reparatie- of downstreambeheerprogramma kan uitvoeren |
| R2v3 | Certificeringsstandaard voor faciliteiten voor hergebruik, recycling en ITAD van elektronica | Of een faciliteit werkt binnen een breder gecontroleerd kader voor gegevensbeveiliging, controles van de downstreamketen, hergebruik en gespecialiseerde processen | Of elke R2-gecertificeerde faciliteit elke specialisatie uitvoert waarvan je aanneemt dat ze dat doet |
NIST SP 800-88 is een richtlijn, geen verkopersinsigne
NIST SP 800-88 is de federale richtlijn voor het opschonen van media. In september 2025 publiceerde NIST SP 800-88 Revisie 2 en stelde expliciet dat deze Revisie 1 vervangt. NIST beschrijft de publicatie als richtlijnen om organisaties te helpen een programma voor het opschonen van media op te stellen met de juiste technieken en controles op basis van de gevoeligheid van de informatie.
| NIST beantwoordt vragen als: | Het geeft geen antwoord op vragen als: |
| Wat moet ontsmetting bereiken? Hoe moet de methodeselectie zich verhouden tot het type media en het risico? Wat moet een media-sanitisatieprogramma omvatten? | Wordt deze leverancier onafhankelijk gecontroleerd? Controleert deze faciliteit haar downstreamketen? Heeft deze operator goede chain-of-custody controles in de praktijk? |
Als een leverancier zegt “we voldoen aan NIST 800-88” en het daarbij laat, dan weet je nog steeds niet wie hem heeft gecontroleerd. Je weet niet hoe ze het werk hebben gedocumenteerd en of de controles na de opschoonstap overleven.
NAID AAA gaat over veilige verificatie van vernietigers
i-SIGMA beschrijft NAID AAA als een verificatie door een derde partij die klanten in staat stelt te voldoen aan due-diligence verplichtingen rond leveranciers van veilige gegevensvernietiging. In het eigen materiaal voor klanten staat dat de certificering kwalificaties verifieert door middel van een gepland en onaangekondigd auditprogramma. naleving van regelgeving en best practices op het gebied van beveiliging valideren voor vernietigingsoperaties.
Dat maakt NAID AAA nuttig als je antwoorden nodig hebt op vragen als:
| Wordt deze vernietiger daadwerkelijk gecontroleerd? | Hanteren ze veiligheidscontroles tijdens verwerking, transport, opslag en vernietiging? | Is er zinvol toezicht dat verder gaat dan een verkoopbelofte en een glanzend certificaat? |
Het is nog steeds een antwoord op vernietigingsdiensten, geen antwoord op een volledige ITAD-architectuur.
Als je project hergebruik, doorverkoop, test en reparatie, downstream handoffs of logische opschoning voor remarketing omvat, dan beantwoordt NAID AAA niet automatisch die vragen, alleen maar omdat het sterk is in het valideren van veilige vernietigingsactiviteiten.
R2v3 is breder en de reikwijdte hangt af van de bijlagen
R2v3 is een certificeringsstandaard voor hergebruik en recycling van elektronica. Dat bredere toepassingsgebied is precies de reden waarom kopers er misbruik van maken. Ze horen “R2-gecertificeerd” en gaan ervan uit dat dit betekent dat elk gegevenssanitisatie-, hergebruik- en downstreamscenario op dezelfde manier wordt behandeld.
SERI's eigen richtlijnen zeggen dat R2v3 gespecialiseerde procesbijlagen bevat omdat niet alle gecertificeerde faciliteiten dezelfde bewerkingen uitvoeren.
Er zijn 7 bijlagen, maar drie daarvan zijn het belangrijkst voor deze discussie:
| Bijlage A: Omvat de kwalificatie en het beheer van de recyclingketen. | Bijlage B: Omvat logisch opschonen van gegevens en verbeterd fysiek opschonen met aanvullende tracering, verificatie en kwaliteitscontroles. | Bijlage C: Omvat testen en reparatie voor hergebruik. |
Appendix B is van toepassing op faciliteiten die logische data sanitization uitvoeren, zoals ITAD operaties, en op faciliteiten die een verbeterd niveau van fysieke sanitization nastreven. Het is niet vereist voor fysieke vernietigingsmethoden die worden behandeld onder de R2-kernvereisten en die zijn afgestemd op de NIST-richtlijnen voor mediasanitisatie waarnaar daar wordt verwezen.
Er is ook een revisierimpeltje dat kopers niet moeten negeren. NIST publiceerde SP 800-88 Revisie 2 in september 2025, maar SERI's gepubliceerde R2v3-materialen verwijzen nog steeds naar Revisie 1 in het kernvereistenpad voor fysieke vernietigingsmethoden. Er zijn substantiële wijzigingen in elementen zoals cryptografisch wissen en sanitisatietools, maar de kern van de richtlijnen blijft hetzelfde.
Dat maakt R2 niet onbruikbaar. Het betekent wel dat je de leverancier moet vragen welke NIST revisie en procedureset ze vandaag de dag gebruiken in plaats van aan te nemen dat het de versie target die je nodig hebt.
Dat betekent dat “R2 gecertificeerd” niet de hele zin is. Je hebt verduidelijking nodig:
- Welke bijlagen vallen onder het toepassingsgebied?
- Is Bijlage A gedekt voor de downstreamketen?
- Staat bijlage B op het certificaat?
- Valt Appendix C binnen het toepassingsgebied als de leverancier de hardware weer in productie neemt?
Als je die antwoorden niet hebt, dan heb je niet de zekerheid die je nodig hebt.
Waar kopers de fout in kunnen gaan
De marktverwarring uit zich meestal in drie voorspelbare fouten.
Fout 1: NIST behandelen als een certificering
NIST is de methode- en programmarichtingslaag. Het vertelt je wat een goed saneringsprogramma moet bereiken. Het is geen werkingscertificaat van een derde partij.
“We volgen NIST” wordt een leverancierssubstituut voor uitleg:
- Welke revisie ze gebruiken
- Welke mediaspecifieke methoden ze toepassen
- Hoe ze het resultaat verifiëren
- Welke gegevens ze bijhouden
- Wie controleert of dat waar is?
| ✓ Als je “NIST” hoort, denk je: | Je moet niet “NIST” horen en denken: |
| Goed, laat me nu het programma, de gegevens en het controlespoor zien. | Probleem opgelost. |
Fout 2: aannemen dat elke R2-faciliteit dezelfde data-sanitisatiediepte heeft
SERI stelt dat Appendix B beschrijft hoe R2v3 logische data sanitization en enhanced physical sanitization definieert. Er staat ook dat Appendix B wordt aanbevolen voor ITAD, retouren en inruil. Er staat zelfs dat leveranciers een verslag moeten maken van de software die ze hebben gewist als bewijs van opschoning. SERI zegt ook dat Bijlage B niet langer direct afhankelijk is van externe gegevensbeveiligingsstandaarden zoals NAID of NIST 800-88, omdat de R2-standaard deze vereisten nu intern controleert.
Als een inrichting alleen fysieke vernietiging uitvoert volgens de R2-kernvereisten, is Bijlage B mogelijk niet vereist. Als de faciliteit logische reiniging uitvoert, is bijlage B vereist. De richtlijnen voor toepasbaarheid van SERI zeggen dat rechtstreeks.
Dus als een leverancier je vertelt dat hij R2-gecertificeerd is, zeg dan niet “geweldig, zijn we gedekt?”. De volgende vraag is “laat me de reikwijdte van het certificaat en de bijlagen zien”. Zo krijg je de specifieke informatie die je nodig hebt.
In SERI's gepubliceerde samenvatting van R2v3-wijzigingen vereist Bijlage B traceerbaarheidsrecords voor unieke apparaatidentificatoren door het ontsmettingsproces. Het voegt ook sterkere verificatie, competentievereisten en robuustere controles toe. In dezelfde samenvatting vermeldt SERI videobewakingseisen met 60 dagen bewaarde opnames voor gebieden waar gegevensapparaten worden ontvangen, opgeslagen of doorgegeven.
Dat is een heel ander antwoord dan een algemeen “we zijn R2-gecertificeerd”.”
Fout 3: NAID AAA gebruiken om vragen te beantwoorden waarvoor het niet gemaakt is
NAID AAA is sterk binnen zijn parameters. i-SIGMA zegt dat het bestaat om leveranciers van vernietiging te verifiëren door middel van geplande en onaangekondigde audits.
Dat maakt het nog niet de juiste tool voor elke inkoopvraag.
Een vernietigingscertificaat vertelt je dat niet automatisch:
- Hoe herbruikbare hulpmiddelen worden gecategoriseerd
- Of bedrijfsmiddelen een gecontroleerd hergebruiktraject doorlopen
- Hoe downstreamleveranciers worden gekwalificeerd voor verwerking zonder vernietiging
- Of test- en herstelbewerkingen gevalideerd zijn
- Of logische ontsmetting voor wederverkoop deel uitmaakt van een breder hergebruikprogramma
Als je project alleen versnipperd is, kan NAID AAA veel antwoorden geven. Als je project mixed-mode ITAD is met wederverkoop, hergebruik, teardown, auditrapportage en downstream partnerbetrokkenheid, dan heb je meer nodig dan een vernietigingsreferentie.
De juiste manier om deze standaarden samen te gebruiken
“Welke standaard is het beste?” is de verkeerde vraag. Ze werken samen, niet tegen elkaar. De juiste manier om de standaard te ondervragen is door te vragen: “Welke vraag probeer ik te beantwoorden?”
| Als je vraag gaat over de ontsmettingsmethode | Als je vraag gaat over veilig toezicht door een leverancier van vernietigingen | Als je vraag gaat over breder ITAD-bestuur en controle op hergebruikpaden |
| Begin met NIST SP 800-88. Dat is waar je de programmalogica grondt:Wat sanitisatie moet bereikenHoe methodeselectie zich verhoudt tot mediatype en gevoeligheidWelke controles thuishoren in het sanitisatieprogramma. Als een leverancier zijn ontsmettingsprogramma niet in NIST-termen kan uitleggen, wordt de rest van het gesprek snel wankel. | Begin met NAID AAA. Daar krijg je: Validatie door derdenGeplande en onaangekondigde auditsDue diligence-ondersteuning voor de selectie van de leverancier van vernietigingControles rond bewaring, transport, opslag en vernietiging Als het project voornamelijk gericht is op vernietiging, is dit een zinvol scherm. | Begin met R2v3 en wordt dan specifiek over bijlagen. Dat is waar je moet vragen: Is Bijlage A van toepassing op controle van de downstream-keten? Is Bijlage B van toepassing op logisch zuiveren of verbeterd fysiek zuiveren? Is Bijlage C van toepassing als hergebruik en reparatie deel uitmaken van het programma? Als de verkoper apparatuur doorverkoopt, test, reinigt voor hergebruik of door een keten van meerdere stappen leidt, is het gesprek in de bijlage niet optioneel. Het is hét gesprek. |
Wat u moet vragen voordat u ondertekent
Stel deze vijf vragen in volgorde voordat je een ITAD- of vernietigingsleverancier goedkeurt:
- NIST Revisie: Welke van uw controles komen uit NIST SP 800-88 en welke herziening gebruikt u op dit moment?
- NAID AAA Toepassingsgebied: Is uw vernietigingsbedrijf NAID AAA gecertificeerd en wat valt er precies onder die certificering?
- R2v3 Bijlagen: Is uw bedrijf R2v3-gecertificeerd en welke bijlagen staan er op het certificaat?
- Bijlage B Bevestiging: Als u logische gegevens opschoont voor hergebruik of wederverkoop, bent u dan gecertificeerd volgens Appendix B?
- Downstreamketen: Als apparatuur uw fabriek verlaat voor verdere verwerking, hoe wordt de downstreamketen dan gekwalificeerd en gevolgd?
Die vragen doen twee dingen tegelijk. Ze dwingen de verkoper om afzonderlijke richtlijnen, certificering en toepassingsgebied. Ze maken het ook veel moeilijker voor iemand om een dun besturingsmodel te begraven onder een stapel logo's certificeringsnamen.
De kopersfout die de grootste blinde vlek creëert
De fout is om aan te nemen dat één genoemde standaard het hele probleem oplost.
Dat doet het niet.
| NIST 800-88Vertelt hoe sanering moet worden doordacht. | NAID AAAT informeert je of een vernietigingsbedrijf onafhankelijk wordt gecontroleerd op het gebied van beveiliging en due diligence-verwachtingen. | R2v3Geeft aan of een faciliteit binnen een breder gecertificeerd kader voor hergebruik, recycling, gegevensbeveiliging en gespecialiseerde procescontroles valt - maar alleen voor zover de reikwijdte van het certificaat en de bijlagen daadwerkelijk betrekking hebben op de activiteiten waar u om geeft. |
Als een leverancier zegt dat hij R2v3, NAID AAA en NIST 800-88 is. Prima. Dat is niet langer de eindstreep.
Nu weet je wat de volgende stap is. Vraag het hen:
| Welke regeert de veeg? | Welke regelt de versnippering? |
| Welke regelt de downstream handoff? | De reikwijdte van het certificaat uitleggen. Het voorbeeldrecord toelichten. |
De verkoper die deze vragen duidelijk kan beantwoorden, begrijpt het verschil.
Dutch 
English 
German 
Spanish 
French 
Swedish