Personvern og sikker sletting – en GDPR guide

Personvern

PDCA: plan-do-check-act

PDCA er egentlig en arbeidsmetodikk som hører hjemme i Lean-tankegangen og som går på kontinuerlig forbedring, men metodikken er vel så relevant i en prosess som jeg har beskrevet under. Informasjonssikkerhetsarbeid er en kontinuerlig prosess. Man kommer aldri helt i mål, men forbedrer underveis og repeterer for å hele tiden bli bedre. Som skrevet i et eget innlegg for noen dager siden så nevner jeg at den nye personopplysningsloven trer i kraft i 2018. Vi trenger å bli mer bevisste på hvor sårbarhetene ligger, men vi må også vite hvordan vi går frem for å sikre oss. Siden vi i AD jobber med å fjerne spor fra utstyr som ikke lenger er i bruk så konsentrerer jeg meg derfor om en «hands on»-guide til god informasjonssikkerhet i en avhendingsprosess.

Skaff deg oversikt

Samle alle dine ansatte og kartlegg: hvilke tjenester, programmer og enheter bruker dere for å gjøre jobben deres?

Eksempler:

  • Lønnskjøring er outsourcet til en annet firma. Hvor lagrer de data som er relatert til den tjenesten de gjør for din bedrift? Er det skrevet en databehandleravtale med dem som ivaretar informasjonssikkerheten?
  • Hvilke enheter* står fysisk plassert i din bedrift som det kan lagres data på?
  • Har dere enheter som er leaset? Hva skjer med informasjonen på disse når dere får en nyere modell?
  • Bruker dere programmer som lagrer informasjon i skyen? Hvilket firma er det som leverer skytjenesten og har disse selskapene tilstrekkelige rutiner for å slette informasjonen sikkert når de bytter ut utstyr med din informasjon på?
  • Har de ansatte mobiltelefoner og PC-er som er betalt av jobben som brukes i jobbsammenheng?

Lag skriftlige rutiner som utføres i praksis

Personopplysningsloven krever også at det i enhver bedrift eksisterer skriftlige rutiner på hvordan informasjonen slettes når den ikke lenger er i bruk. En kartlegging vil gjøre det enklere for deg å skrive rutiner som ivaretar at informasjon som er lagret slettes for godt når:

  1. en ansatt slutter
  2. det ikke er behov for å lagre denne informasjonen lenger
  3. utstyr skal byttes ut med nytt
  4. noe skal kastes
  5. man gir noe bort (f.eks hvis en ønsker å gi mobiltelefonen videre til et familiemedlem)
  6. utstyr blir gjenbrukt innad i bedriften

Foreta internkontroller og følg opp ved avvik

Når et avvik fra rutinene oppdages ved en internkontroll skal oppfølgingen loggføres fortløpende og saken håndteres. Leder har ansvar for å følge opp at dette blir gjort.

Hvordan sletter jeg informasjon for godt?

Sikker sletting er ikke «delete», formatering eller gjenoppretting til fabrikkoppsett. Skal man sørge for at informasjon er borte for godt må man bruke programvare som overskriver dataene. I tillegg er det viktig å kunne dokumentere at informasjonen er slettet 100% og ikke 99%. Nasjonal Sikkerhetsmyndighet har en liste over sletteverktøy som de har godkjent. Det er viktig å ha en sikker løsning også for enheter som er ødelagt. Avmagnetisering og makulering av disse enhetene er eneste måten som sørger for dette.

Hva har denne loven å si for meg som leder?

Ledere har et ansvar og en lovfestet plikt gjennom personopplysningsloven å sørge for at alle opplysninger eller vurderinger som kan knyttes til deg som enkeltperson behandles på forsvarlig vis. Det innebærer at du som daglig leder i din bedrift sørger for å ta ansvar for at alle elektroniske innretninger som det kan lagres noe på blir slettet for godt når det ikke er behov for å lagre opplysningene lenger.

Konsekvenser ved slurv

Datatilsynet vil få muligheten til å gi bøter på opp mot fire prosent av en bedrifts globale omsetning. Bøter er riktignok et viktig virkemiddel, men det beste tiltaket for informasjonssikkerhet er en god sikkerhetskultur som forankres i ledelsen.  Lar man økonomi alene være driver for god sikkerhetskultur så hjelper det lite med skrevne rutiner!

Trenger du flere tips og råd?

Eller vil du bestille henting av utstyr for sikker sletting og videre behandling? Ta kontakt så hjelper vi deg!

*Trenger du en oversikt over hvilke enheter det kan lagres noe på? Se her.

Kanskje disse artiklene er nyttige for deg også?