Säker dataradering innan du säljer elektronik

Att sälja eller skrota en gammal enhet utan att radera data ordentligt är ett av de vanligaste och mest underskattade misstagen inom IT-avveckling. Lagrad information kan finnas kvar på ett lagringmedium även efter att du klickat “fabriksåterställ” — och i fel händer kan det få allvarliga konsekvenser. Den här artikeln går igenom varför radering är kritisk, vilka metoder som faktiskt fungerar och vad som krävs av företag under GDPR.

Varför räcker det inte att bara formatera?

En vanlig formatering raderar inte data — den tar bort pekarna till filerna och markerar utrymmet som tillgängligt. Den faktiska datan finns kvar tills den skrivs över av ny data. Med rätt återställningsprogram kan en angripare hitta lösenord, personuppgifter, affärsdokument och historik som du trodde var borta.

Det gäller för:

HDD (hårddiskar) — magnetisk lagring, data återställs utan avancerad hårdvara
SSD och NVMe — flashceller lagrar data på sätt som gör enkel överskrivning otillräcklig
Smartphones och surfplattor — fabriksåterställning utan föregående kryptering lämnar data åtkomlig

Vilka metoder ger faktisk radering?

Programvarumässig överskrivning (HDD)

För traditionella hårddiskar finns etablerade standarder som DoD 5220.22-M och NIST 800-88 som specificerar hur många gånger data ska skrivas över och med vilket mönster. Verktyg som DBAN (Darik’s Boot and Nuke) eller kommersiella alternativ som Blancco implementerar dessa standarder och kan generera en raderingsrapport.

Fungerar för: HDD i stationära datorer, bärbara datorer, servrar Fungerar inte ensamt för: SSD/NVMe, eMMC-flash

ATA Secure Erase / NVMe Sanitize (SSD)

SSD-enheter har inbyggda kommandon — ATA Secure Erase eller NVMe Sanitize — som instruerar kontrollerchippet att rensa alla flashceller enligt tillverkarens specifikation. Det är snabbare och effektivare än programvarumässig överskrivning på traditionellt vis.

Kommandot ges via verktyg som hdparm (Linux), tillverkarens egna verktyg (Samsung Magician, Crucial Storage Executive) eller certifierade raderingsprogram.

Kryptering + fabriksåterställning (mobiler och surfplattor)

För iOS-enheter: aktivera krypterad säkerhetskopia och genomför sedan fabriksåterställning. iPhones krypterar data med en hårdvarubunden nyckel — återställningen förstör nyckeln och gör data oåtkomlig.

För Android: aktivera fullständig enhetskryptering innan fabriksåterställning. Moderna Android-versioner (6.0+) har ofta kryptering aktiverat som standard, men kontrollera detta innan du återställer.

Fysisk destruktion

När certifierad programvaruradering inte är möjlig — till exempel för skadade enheter, äldre media eller vid höga säkerhetskrav — är fysisk destruktion det tillförlitliga alternativet. Specialiserade återvinnare kan shredda hårddiskar och SSD:er enligt certifierade standarder och utfärda ett destruktionsintyg.

GDPR:s artikel 5 kräver att personuppgifter hanteras på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot obehörig behandling och oavsiktlig förlust. Det innebär att ett företag som avvecklar IT-utrustning har ett ansvar att säkerställa att personuppgifter inte läcker.

Det räcker inte med att “troligtvis” ha raderat data. Företag behöver:

Dokumentation — en logg över vilka enheter som avvecklades, när och hur
Intyg — vid externa leverantörer ska du kräva ett destruktions- eller raderingsintyg som specificerar serienummer, metod och datum
Processägare — någon i organisationen ska vara ansvarig för IT-avvecklingsprocessen

Datainspektionen (IMY) kan vid en tillsyn begära dokumentation som bevisar att personuppgifter hanterats korrekt. Utan intyg är det svårt att bevisa att radering genomförts.

Certifierad destruktion — när väljer man det?

Certifierad destruktion med intyg väljs när:

Skadade enheter inte kan genomgå programvaruradering
Höga säkerhetskrav gäller (t.ex. vårdsektorn, finans, offentlig sektor)
Revision eller compliance kräver verifieringsbar beviskedja
Volymen är för stor för intern hantering

Många återvinnare i nätverket erbjuder certifierad destruktion som en del av avvecklingstjänsten. Ange detta krav i din förfrågan så att anbuden inkluderar rätt tjänstenivå.

Är det okej att skrota en enhet utan att radera?

Tekniskt sett kan en återvinnare ta emot en enhet utan att data är raderat. Men du överlåter då ansvaret för vad som händer med lagringsmediet till en extern aktör — och du saknar kontroll över vidare hantering i kedjan.

Rådet är entydigt: radera alltid data, eller anlita en aktör som utför certifierad destruktion och ger intyg. Det är enklare att göra rätt från början än att hantera ett dataintrång eller en GDPR-anmälan i efterhand.

Vad gör du med enheter som inte kan raderas?

Enheter med allvarliga fel — trasig SSD som inte svarar på Secure Erase, skadad HDD — ska inte säljas utan att lagringsmediet separerats och destruerats. Du kan antingen:

Ta ut disken och lämna den för separat destruktion
Anlita en återvinnare som erbjuder certifierad destruktion av hela enheten med intyg

Ange detta i förfrågan — det är relevant information för anbudet.

Redo att avveckla IT-utrustningen?

När data är raderat och utrustningen är sorterad är nästa steg att ta in anbud. Läs gärna guiden Sälja gamla datorer och IT-utrustning för en komplett genomgång av hur du förbereder lasten och vad du kan förvänta dig av processen.

Sammanfattning

Dataradering är inte valfritt — det är ett grundkrav oavsett om du är privatperson eller företag. Rätt metod beror på enhetstyp: överskrivning för HDD, Secure Erase för SSD, kryptering + återställning för mobiler. Företag under GDPR behöver dokumentation och destruktionsintyg. Väljer du certifierad destruktion via en återvinnare i nätverket ingår intyget i tjänsten.

Begär offert och ange dina krav på dataradering — återvinnarna i nätverket lämnar anbud anpassade för din situation.