SKJERPINGS: It-selskapet 3 Step IT mener nordmenn har for lav kunnskap om datasletting. (Foto: 3 Step IT) 

Kun 14 prosent bruker godkjente sletteprogrammer

Norske selskaper har et naivt forhold til datasletting, mener it-selskapet 3 Step IT. 

Publisert Sist oppdatert

– Gjennom flere år har vi spurt norske selskaper om rutinene rundt utskifting av eldre pc-er, og selv etter innføringen av GDPR-forordningen er det liten fremgang å spore. Det sier Peer Velde, administrerende direktør i 3 Step IT.

3 Step IT, som er en finansieringsspesialist innen teknolog, har fått YouGov til å hente inn tall om hvordan dataene på pc-ene slettes når de skal skiftes ut. Selskapet er ikke videre begeistret over funnene. 

Nå som det går mot sommerferie, og svært mange arbeidstakere kommer til å benytte jobbmaskinen fra ulike feriesteder, frykter 3 Step IT at flere bedrifter kan møte en kostbar periode. Kombinasjonen tyveri av pc-er, data på avveie og strenge GDPR-krav er skummel, mener selskapet.

Bøter

I en pressemelding skriver selskapet at bedriftsledere må bli mye mer opptatt av å dokumentere at dataslettingen har skjedd på en profesjonell måte. Pc-er med konfidensiell informasjon kan utgjøre en stor sikkerhetsrisiko, og databehandlingskravene i GDPR-forordningen forsterker dette ytterligere, mener de, og sikter til Datatilsynets rekordmange avviksmeldinger, og bøtene som har begynt å komme

Norske selskaper har derfor – med bistand fra høyt gasjerte advokater – jobbet intensivt de siste par årene med å tilpasse seg GDPR-forordningen, skriver selskapet.

Likevel tyder mye på at flesteparten av norske selskaper mangler godkjente rutiner på sletting av data når pc-er skal byttes ut.

Skremmende tall

På spørsmål om bedriften har innført gode rutiner for å tilfredsstille GDPR-kravene, svarer 32 prosent bekreftende på dette.

27 prosent sier også at de kan dokumentere at data fra PC-er som skal byttes ut slettes.

Det store kunnskapshullet avsløres imidlertid på spørsmålet om hvordan data slettes. Her sier 14 prosent at de benytter godkjente sletteprogrammer, 13 prosent sier de velger «manuell formatering av alle data», 9 prosent bruker «andre metoder», mens 69 prosent vet ikke.

Velde mener at dette viser bekymringsfull lav kunnskap om gode metoder for datasletting.

– For å være GDPR-kompatibel kreves det solid dokumentasjon på alle rutiner og prosesser rundt bruk av persondata. Spesielt viktig er dokumentasjon rundt datasletting. Dessverre tror mange ledere det er tilstrekkelig at noen i it-avdelingen formaterer maskinen. Det er det ikke. For det første kan en it-kyndig gjenskape innholdet på maskinen. Dernest mangler du godkjent dokumentasjon på jobben som er gjort, og det er dette Datatilsynet og Riksrevisjonen vil etterspørre, sier han.

Spesielt det siste punktet har blitt ekstra aktualisert med GDPR-forordningen. Benytter bedriften et godkjent sletteprogram vil det automatisk genereres et slettesertifikat når jobben er ferdig, heter det i meldingen.

– Dette ene dokumentet kan bli helt avgjørende i en eventuell tvistesak om data på avveie og mulige konsekvenser som følge av dette, sier Velde.