Når en medarbeider slutter, skal hans eller hennes e-postkasse avsluttes. Informasjon som ikke er nødvendig for driften skal slettes. Det samme gjelder personopplysninger om den ansatte. Har du rutiner som sikrer at din bedrift utfører dette i henhold til gjeldende lovverk?

De aller fleste av oss tar det for gitt at sykehus og helseforetak har full kontroll på sensitiv informasjon og at de har gode rutiner som fungerer, slik at personlige opplysninger ikke havner på avveie. Men hvor gode er egentlig helsevesenet på dette området generelt?

Cyberangrep og tyveri av EE-avfall. Begge deler er et utbredt problem i Norge og bør være til påminnelse om å gå gjennom bedriftens opplegg for informasjonssikkerhet med jevne mellomrom. Både for PCer og annet digitalt utstyr som er i bruk – og for det som er utrangert og skal kastes. Har din bedrift rutiner som er gode nok?

Papirkurven er en dårlig løsning hvis du ønsker at sensitiv informasjon ikke skal komme på avveie. Å plassere brukte PCer, mobiltelefoner eller harddisker i hyller eller andre steder i kontorlokalene hvor mange kan ha tilgang til dem, er også risikofylt. Et mye bedre valg er sikre, plomberte beholdere som går til sikker makulering og destruksjon. Har bedriften din avtale om en slik løsning? 

I januar 2019 fikk vi en ny sikkerhetslov med tilhørende forskrifter i Norge. Den sier at virksomhetene selv har ansvaret for å regelmessig gjennomføre vurderinger av risiko og iverksette forebyggende sikkerhetstiltak for å oppnå forsvarlig sikkerhet. For å forstå dette ansvaret, er det viktig å sette seg inn i hvilke deler av loven som gjelder for nettopp deg og din bedrift.

Vi i Norsk Makulering mener at kverning av digitale lagringsmedier er en sikker og enkel metode for å slette digitalt innhold. Vår kvern for sikker makulering og vår sikkerhetsprosess gjør at våre kunder kan være trygge på at sensitive data ikke kommer på avveie ved sletting. Vi tar imot alle typer digitale lagringsmedier, som kvernes i så små biter at innholdet ikke kan gjenskapes i sin opprinnelige form.

En IS-kvinnes retur med to barn til Norge har skapt regjeringskrise. Helsen til det ene barnet er begrunnelsen for at kvinnen fikk komme tilbake. Det har ført til krav om offentliggjøring av hva som feiler barnet. Med henvisning til taushetsplikten har ikke det skjedd. Det er forhold jeg ikke skal kommentere, men saken kan være en påminnelse om at helse og barn har et særlig vern også i henhold til personvernreglene i GDPR og personopplysningsloven.

Det er ett år siden den nye sikkerhetsloven trådte i kraft. Den medfører en del endringer. Blant annet omfatter den nå privat virksomhet. I 2018 ble GDPR innlemmet i personopplysningsloven, og vi har fått de første millionbøtene for brudd på personvernreglene der. Det finnes også andre lover og regler du bør kjenne til når personopplysninger og andre sensitive data skal makuleres. Her er en oversikt over noen sentrale bestemmelser.

Virksomheter som behandler personopplysninger kan benytte seg av underleverandører. I GDPR omtales disse som databehandlere. Benytter dere slike underleverandører skal det inngås en databehandleravtale som sikrer at personopplysningene behandles i tråd med personvernreglene og den skal beskrive hvordan databehandleren kan behandle opplysningene. Er dere usikre på om databehandleravtalene dere har inngått oppfyller GDPR-kravene, kan dere nå sjekke det mot en standardavtale som det danske datatilsynet har utarbeidet. Den danske avtalen er godkjent for bruk i Norge også.

Det er snart et og et halvt år siden GDPR ble en del av norsk lovgivning. Det var litt senere enn i resten av Europa. I løpet av den tida har vi lært mer om hva slags praksis Datatilsynet i Norge og tilsynene i andre land vil legge seg på når det gjelder brudd på personvernreglene. Reaksjonene varierer fra korrigeringer og irettesettelser til store millionbøter. Årsakene til reaksjonene varierer også. Blant annet dreier det seg om manglende sletterutiner og manglende personopplysningssikkerhet i datasystemer, og det gjelder både opplysninger i papirdokumenter og i digitale lagringsmedier.