Det er litt over et år siden EUs personvernforordning (GDPR) ble innført i Europa og 10 måneder siden den ble innlemmet i den norske personopplysningsloven. Det har ført til betydelig større oppmerksomhet rundt personvern. Datatilsynet har i løpet av den tida fått inn nærmere 2000 saker til behandling. De aller fleste er avviksmeldinger. Om lag 350 er klager fra privatpersoner. Temaer som går igjen er ønsker om å bli slettet og sensitive data på avveier.

Du skal sikkert om litt ha ferie. Har du før det sørget for rydding og makulering av papirdokumenter på din egen kontorplass og alle andre steder i lokalene? Og hvordan er det med PCer, nettbrett, mobiltelefoner og harddisker som ikke er i bruk? Har dere kontroll på at personopplysninger og sensitive data slettes på en forsvarlig måte slik at du kan ta ferie i visshet om at de ikke kommer på avveie? Bekymringen for at det skal skje, kan være greit å slippe.

Informasjonssikkerhet er et begrep som stadig dukker opp når den nye personopplysningsloven omtales, og det er også en viktig del av den nye sikkerhetsloven. Hvorfor er dette så viktig? Alt som har med nasjonal sikkerhet å gjøre, er selvsagt veldig viktig. Men med mangelfulle rutiner for informasjonssikkerhet er risikoen også stor for å få GDPR-bøter. 

Mange virksomheter har av og til behov for å destruere varer eller produkter. Årsakene til det kan være flere. Når man er nødt til å gjøre det, bør flere hensyn tas. Først og fremst må destruksjon skje på en sikker måte, slik at produktene ikke kommer på avveie og blir omsatt i markedet med mulighet for skader på firmaet ditt og på andre. Men man bør også tenke på at mange produkter kan resirkuleres og brukes som råstoff i ny produksjon og at farlig avfall behandles på en trygg måte. 

Datatilsynet stadfestet nylig gebyret på 1,6 millioner kroner for brudd på EUs personvernforordning (GDPR) som de tidligere har varslet Bergen kommune om.  Nå har Oslo kommune fått varsel om en enda høyere GDPR-bot, nemlig 2 millioner kroner. I begge tilfeller er begrunnelsen at kommunene ikke har ivaretatt den informasjonssikkerheten som de nye personvernreglene krever. Hvordan står det til med sikkerheten for at personopplysninger ikke skal komme på avveie i din virksomhet?

Har du tenkt over hva som er sensitiv informasjon, og hva det vil koste virksomheten din dersom den kommer på avveie? Enten det er personopplysninger eller andre sensitive data, kan det bli kostbart. Millionbøter og tapt omdømme og konkurransekraft er noe av prisen. Husk at slike data finnes både i papirdokumenter og på PCer og andre digitale lagringsmedier. Det er viktig å ha sikre sletterutiner for begge deler. 

Vi har den siste tida fått en del eksempler på hvor dramatiske konsekvenser det kan få for virksomheter hvis datasikkerheten ikke er god nok. Det kan være nok å nevne cyberangrepet mot Hydro. For alle bør det være en påminnelse om å gå gjennom oppleggene sine for informasjonssikkerhet. Hvis dere gjør det, så husk at det ikke bare gjelder sikkerhetsrutiner når PCer og annet digitalt utstyr er i bruk. Hva gjør dere når dere skal kvitte dere med gamle, utrangerte PCer? Har dere sikre nok sletterutiner?

Denne gangen har jeg lyst til å bruke blogginnlegget mitt til å fortelle litt om oss selv. Som dere vet, stiller GDPR nye krav om personvern til alle norske virksomheter og pålegger dem nye plikter. Det er krav og plikter vi også tar på alvor. Derfor har vi nå investert i økt sikkerhet og nye løsninger som skal tilfredsstille kravene ved sletting av personopplysninger og andre sensitive data. Vi har også laget en ny web-side som forteller om tjenestene og sikkerheten vår.

De fleste virksomhetene har samlet personopplysninger og andre sensitive data både digitalt og på papir. Kravene om informasjonssikkerhet og sikre sletterutiner som en del av det, gjelder for begge. Har du nødvendige rutiner for å oppfylle disse kravene på plass, eller er det en sjanse for at det ligger gjenglemte dokumenter eller eldre harddisker på steder hvor uvedkommende for lett kan finne dem?

Forrige uke arrangerte Nasjonal Sikkerhetsmyndighet (NSM) Nasjonale sikkerhetsdager.  Hovedtema var denne gangen hvordan man gjennom forebyggende tiltak kan hindre at sensitiv informasjon kommer på avveie. Drøftelsene skjedde med ferske eksempler på alvorlige brudd på datasikkerheten, ny sikkerhetslov med forskrifter, nye nasjonale strategier for digital sikkerhet og GDPR som bakteppe. Uka før hadde vi i Norsk Makulering våre egne årlige sikkerhetsdager.