Sensitive helsedata slettes ikke

Sensitive helsedata slettes ikke

Kommuner glemmer at personopplysninger ligger igjen på gammelt utstyr.

74 prosent av kommunene følger ikke Norm for Informasjonssikkerhet i helsesektoren, viser en undersøkelse som Norsis og sikkerhetsselskapet Ibas har bestilt, utført av Yougov.

- Det er veldig viktig at kommuner forholder seg til sikkerhetsnormen og lovene her i landet, sier seniorrådgiver Norsk senter for informasjonssikkerhet (Norsis), Tone Hoddø Bakås til Computerworld.

Ifølge Norsis har kommunene i Norge den riktige holdingen til sletting av sensitiv data, men dette etterleves ikke i praksis. Kun halvparten sørger for dokumentert sletting av personopplysninger. Andre tar i bruk mer voldelige metoder som slegge eller sprengstoff for å slette data.

- Kommuner behandler sensitive personopplysninger, særlig i helsesammenheng. De må forholde seg til personvernloven og til registerloven. Begge stiller krav til sikring av data, fra vugge til grav, sier Hoddø Bakås.

Hele livssyklussen

Tre av fire norske kommuner har rutiner for datasletting, men metoden er ikke alltid i henhold til retningslinjer i personopplysingsloven og Nasjonal Sikkerhetsmyndighet (NSM).

- Informasjon skal behandles fra “vugge til grav”, og da må det være kontroll på informasjonen i hele livssyklusen. Mange glemmer avhendingen av datautstyr og den informasjonen som ligger igjen på gammelt utstyr, sier Tore Larsen Orderløkken, administrerende direktør i Norsis, i en pressemelding.

Nosis-sjefen mener det er bekymringsfullt at kun halvparten av kommunene dokumenterer at utrangert datautstyr er permanent slettet, og det er enda mer bekymringsfullt at kun 29 prosent følger kravene om sertifiserte løsninger fra Nasjonal Sikkerhetsmyndighet (NSM).

Sensitiv helseinformasjon

I løpet av 2011 vil sju av ti kommuner knyttes opp mot Norsk Helsenett, den elektroniske samhandlingsarenaen for helse- og omsorgssektoren i Norge. Dette gjør sikker sletting enda mer kritisk, fordi det betyr de benytter seg av Helsenettet for å dele sensitiv informasjon med andre.

Hele 51 prosent av de kommunene som enten er eller blir tilknyttet Helsenettet sletter data uten dokumentasjon, og seks prosent vet ikke om data blir slettet i det hele tatt. Kun 24 prosent har etablert rutiner som tilfredsstiller Norm for Informasjonssikkerhet i helsesektoren, ifølge undersøkelsen.

Normen pålegger kommunene rutiner der lagringsmedier som inneholder helse- og personopplysninger slettes med løsninger godkjent av NSM.

- Kravene til hvordan data fra Helsenettet skal slettes er krystallklare, og når fortsatt 51 prosent av de tilknyttede kommunene ikke følger opp disse kravene må man stille seg spørsmål om hvem som skal kontrollere kravene i normen. Hvis slike data kommer på avveie vil det være katastrofalt for dem som rammes, og for kommunens omdømme, understreker Orderløkken.

Finnes mye programvare

- Har dere noen konkrete eksempler på at kommuner har mistet helsedata på grunn av dårlig sletting?

- Nei, det har ikke vært en del av undersøkelsen. Men ut fra det generelle mediebildet vet vi at det skjer. Det har vært saker om det i mediene, både papirarkiver som har kommet på avveie, eller minnepinner med informasjon. Vi vet at man ikke sletter riktig, og da er sjansen der at det havner på feil plass og blir tilgjenglig for andre, sier Hoddø Bakås.

- Hva må gjøres?

- Bevissthet er viktigste. Men så må man gjennomføre det. Det er faktisk ganske enkle verktøy til det. Det handler om å ta dem i bruk. Det finnes mye forskjellige programvare for å gjøre dette på korrekt måte, som sikrer at dataene blir overskrevet for en gang for alle.

- Er det manglende kompetanse hos kommunene?

- Det er nok lite kompetanse i deler av kommunebransjen. Dette handler ikke om å bruke ”delete” eller vanlig formatering. Jeg kan tenke meg noen tror det er dyrt, men det er det ikke. Uansett er det viktig at kommuner tar seg råd til det, sier Hoddø Bakås.

Få Computerworlds nyhetsbrev om helse og it