WORM-opslag en legal hold: wanneer je write-once-archieven nodig hebt
De meeste documentarchieven zijn veranderbaar. Een bestand opgeslagen op een standaard bestandssysteem of objectopslag kan worden overschreven, verwijderd of stilletjes gewijzigd door iedereen met de juiste rechten, inclusief systeembeheerders. Voor de meeste operationele doeleinden is dit prima. Voor gereguleerde documentbewaring geeft dit een probleem: je kunt niet geloofwaardig beweren dat een gearchiveerd document ongewijzigd is als het systeem dat het opslaat het had kunnen wijzigen.
WORM-opslag en legal hold zijn de twee mechanismen die dit op de opslaglaag aanpakken.
Wat WORM betekent
WORM staat voor Write Once, Read Many. Een WORM-opslagsysteem accepteert precies een schrijfactie voor elk object. Nadat de schrijfactie is vastgelegd, kan het object niet worden gewijzigd, overschreven of verwijderd totdat de geconfigureerde bewaartermijn is verstreken.
Dit is een fysieke of logische beperking op de opslaglaag, geen toegangsbeheerbeleid. Het onderscheid is belangrijk: een toegangsbeheerbeleid kan door een beheerder worden gewijzigd. Een WORM-beperking kan niet worden omzeild door rechten te herconfigureren, omdat de write-once-eigenschap wordt afgedwongen door het opslagsysteem zelf, niet door een beleidslaag erbovenop.
Hardware-WORM: optische media (CD-R, BD-R), bepaalde enterprise-tapformaten en gespecialiseerde WORM-schijfarrays dwingen dit af op het fysieke niveau. Eenmaal geschreven, kunnen de gegevens niet worden gewijzigd ongeacht welke software erop draait.
Objectopslag-WORM (softwaregedwongen): de meeste moderne S3-compatibele objectopslag ondersteunt een “Object Lock”-modus die WORM-semantiek in software implementeert. Wanneer Object Lock is ingeschakeld met een bewaardatum, weigert de opslag-API verwijder- en overschrijfverzoeken voor dat object totdat de bewaartermijn is verstreken, zelfs voor verzoeken met beheerdersreferenties.
Bewaarmodi
WORM-capabele objectopslag biedt doorgaans twee bewaarModi:
Governance-modus: beheerders met een specifieke toestemming kunnen de bewaarvergrendeling opheffen. Handig voor het corrigeren van fouten tijdens de initiiele bewaartermijninstellingen. Niet geschikt voor gereguleerde archieven omdat het de mogelijkheid van beheerdersoverschrijving behoudt.
Compliance-modus: geen enkele gebruiker, inclusief het rootaccount, kan het object verwijderen of wijzigen voor de bewaardatum. De bewaartermijn kan worden verlengd maar niet verkort. Dit is de modus die vereist is voor wettelijke naleving in de meeste jurisdicties.
Het onderscheid is significant bij audits. Een auditor die vraagt “had dit document na archivering kunnen worden gewijzigd?” zou het antwoord “nee, technisch onmogelijk” moeten krijgen en niet “nee, alleen beheerders hadden dat gekund, en wij vertrouwen onze beheerders.”
Wat legal hold betekent
Legal hold (ook wel litigation hold) is een apart mechanisme van bewaring. Bewaring bepaalt hoe lang een document moet worden bewaard. Legal hold schort verwijdering op voor een specifiek document, ongeacht of de bewaartermijn is verstreken.
Wanneer een organisatie een gerechtelijk bevel, een regelgevingsonderzoek ontvangt of wordt geinformeerd over mogelijke rechtszaken, heeft ze de plicht alle relevante documenten te bewaren. Legal hold dwingt deze bewaring automatisch af: documenten onder hold kunnen niet worden verwijderd, ook niet als hun standaard bewaartermijn is verstreken.
De hold wordt opgeheven door expliciete vrijgave, doorgaans door juridisch adviseur, zodra de zaak is opgelost.
Operationeel vereist legal hold het taggen van documenten op metagegevensniveau en het laten afdwingen van de tag door het opslagsysteem. In objectopslag met WORM-mogelijkheden wordt dit gewoonlijk geimplementeerd als een onbepaalde hold-vlag naast de getimede bewaartermijn.
Wanneer WORM vereist is
Regelgevingsvereisten voor onveranderbare opslag zijn sectorspecifiek maar steeds gangbaarder.
Financiele diensten (EU): MiFID II vereist dat records van transacties en communicatie worden opgeslagen in een formaat dat wijziging verhindert. De vereiste is uitdrukkelijk voor manipulatie-evidente opslag, waaraan WORM voldoet. Bewaartermijnen zijn vijf jaar voor de meeste transactiegegevens, zeven jaar voor sommige categorieen.
Gezondheidszorg: De AVG gecombineerd met sectorspecifieke regels (in Duitsland de Patientendatenschutzgesetz) vereist dat medische dossiers 10 tot 30 jaar worden bewaard afhankelijk van het type, in een vorm die integriteit garandeert. WORM is de meest verdedigbare implementatie.
Publieke sector: Veel EU-lidstaten voor aanbestedingsregelgeving vereisen dat contractdocumentatie in onveranderlijke vorm wordt gearchiveerd voor de duur van de verjaringstermijn plus de bewaartermijn, wat meer dan 15 jaar kan zijn.
Boekhouding (GoBD, Duitsland): GoBD vereist Unveranderbarkeit (onveranderlijkheid) voor gearchiveerde boekhoudkundige documenten. De richtlijn stelt uitdrukkelijk dat gearchiveerde documenten beschermd moeten worden tegen latere wijziging. WORM-opslag voldoet hier per definitie aan.
WORM vervangt geen hashketens
WORM-opslag bewijst dat de opgeslagen bits niet zijn veranderd sinds het schrijven. Het bewijst niet welk proces die bits heeft geproduceerd, of dat het proces correct was.
Een hashketen bewijst dat de reeks verwerkingsgebeurtenissen consistent en ongewijzigd was. Het verhindert niet dat de onderliggende opslag wordt gewijzigd (tenzij de opslag ook WORM is).
Samen pakken ze verschillende bedreigingsmodellen aan:
| Mechanisme | Wat het verhindert |
|---|---|
| WORM-opslag | Wijziging of verwijdering van gearchiveerde bestanden na schrijven |
| Hashketen | Retroactieve vervalsing van de verwerkingsgeschiedenis |
| RFC 3161-tijdstempel | Terugdatering van documenten of gebeurtenissen |
Een volledig verdedigbaar langetermijnarchief gebruikt alle drie: WORM voor de opslaglaag, hashketens voor het auditspoor en RFC 3161-tijdstempels als externe tijdankers. Elke laag dicht de gaten die de anderen openlaten.
Overdraagbaarheid van bewijs
Een risico specifiek voor WORM-archieven is leveranciersafhankelijkheid op de opslaglaag. Als je WORM-implementatie een eigen formaat of een eigen API gebruikt, kan migreren naar een andere opslagprovider voor het verstrijken van de bewaartermijn onmogelijk of juridisch riskant zijn.
De veiligste architectuur scheidt het bewijs van het opslagmechanisme: het bewijs (document + hashketen + tijdstempels) is zelfverifieerbaar ongeacht waar het is opgeslagen. De WORM-eigenschap garandeert dat het niet is gewijzigd na archivering, maar het evidence pack bewijst integriteit zelfs als de WORM-eigenschap theoretisch zou kunnen worden omzeild.
Dit betekent dat het evidence pack-formaat en het opslagformaat onafhankelijk van elkaar moeten worden gekozen. PDF/A-3 voor documenten, standaard JSON voor auditsporen en RFC 3161-tokens in hun standaard CMS-codering zijn allemaal formaatonafhankelijk. Ze verifiëren met open-sourcehulpmiddelen zonder het originele opslagsysteem te vereisen.
SealDoc en onveranderlijk archiveren
De archiefmodus van SealDoc schrijft documenten naar WORM-compatibele objectopslag met compliance-modus bewaarvergrendelingen. De bewaartermijn is configureerbaar per documenttype: zeven jaar voor facturen, tien jaar voor contracten, aangepaste termijnen voor sectorspecifieke vereisten.
Documenten opgeslagen in archiefmodus combineren WORM-opslag met hashketen-auditsporen en RFC 3161-tijdstempels, wat drie onafhankelijke lagen van tamper-evidence biedt. Legal hold kan via de API worden toegepast en wordt alleen opgeheven bij expliciete vrijgave.
Het Legal Evidence Pack dat bij archivering wordt gegenereerd, wordt zelf opgeslagen onder WORM-bewaring, waardoor de bewijsartefacten even onveranderlijk zijn als de documenten die ze dekken.