Personvern og sikker sletting

Personopplysningsloven pålegger ledelsen ansvaret for at alle opplysninger eller vurderinger som kan knyttes til deg som enkeltperson behandles på forsvarlig vis, også ved avhending av maskinvaren.

Ny lovgivning stiller strengere og mer spesifikke krav til sikring og forvaltning av informasjon, og mange har ikke gode nok rutiner for sikker sletting. Det vil være virksomhetskritisk at alle opplysninger eller vurderinger som kan knyttes til enkeltpersoner behandles forskriftsmessig. Det innebærer at alle elektroniske innretninger som det kan lagres noe på blir slettet for godt når det ikke er behov for å beholde opplysningene lenger.

Kommer data på avveie vil Datatilsynet kunne ilegge bøter på opp mot fire prosent av en bedrifts globale omsetning.

Skaff deg oversikt

For å etablere de beste rutinene bør man starte med å skaffe seg oversikt, både i eget hus og mot partnere. Hvor mange- og hvilke tjenester, programmer og enheter brukes til arbeidsrelaterte formål? Hvor mange tusen enheter inneholder spor fra virksomhetens data? Vet du?

• Hvilke enheter står fysisk plassert i din bedrift som det kan lagres data på?
• Har dere enheter som er leaset? Hva skjer med informasjonen på disse når dere får en nyere modell?
• Bruker dere programmer som lagrer informasjon i skyen? Hvilket firma er det som leverer skytjenesten og har dette selskapet tilstrekkelige rutiner for å slette informasjonen sikkert når de bytter ut utstyr med din informasjon på?
• Har de ansatte mobiltelefoner og PC-er som er betalt av jobben som brukes i jobbsammenheng?

Oversikt og detaljkunnskap er særlig viktig ved tjenesteutsetting som når lønnskjøring håndteres av et annet firma. Hvor lagrer de data som er relatert til den tjenesten de gjør for din bedrift? Er det skrevet en databehandleravtale med dem som ivaretar informasjonssikkerheten?

Dokumentert ombruk

Personopplysningsloven krever også at det i enhver bedrift eksisterer skriftlige rutiner på hvordan informasjonen slettes når den ikke lenger er i bruk. En kartlegging vil gjøre det enklere for deg å skrive rutiner som ivaretar at informasjon som er lagret slettes for godt når:

• En ansatt slutter.
• Det ikke er behov for å lagre denne informasjonen lenger.
• Utstyr skal byttes ut med nytt.
• Noe skal kastes.
• Man gir noe bort (for eksempel hvis en ønsker å gi mobiltelefonen videre til et familiemedlem).
• Utstyr blir gjenbrukt innad i bedriften.
• Når et avvik fra rutinene oppdages ved en internkontroll skal  oppfølgingen loggføres fortløpende og saken håndteres.

Varig sletting

Sikker sletting er ikke «delete», formatering eller gjenoppretting til fabrikkoppsett. Skal man sørge for at informasjon er borte for godt må man bruke programvare som overskriver dataene. I tillegg er det viktig å kunne dokumentere at informasjonen er slettet 100 prosent og ikke 99 prosent. Nasjonal Sikkerhetsmyndighet har en liste over sletteverktøy som de har godkjent.

Det er viktig å ha en sikker løsning også for enheter som er ødelagt. Avmagnetisering og makulering av disse enhetene er eneste måten som sørger for dette. Husk også at alle enheter som berører virksomhetens data er berørt av denne loven, også mange millioner mobiler som støver ned i norske skuffer.

Ganske få virksomheter oppfyller dagens regler, og de aller fleste har nye rutiner som må på plass før mai 2018.

Lene Zachariassen er sikkerhetssjef i Alternativ Data.