Om kort tid er det ett år siden EUs personvernforordning (GDPR) ble en del av den norske personopplysningsloven. I løpet av det året har Datatilsynet gitt norske virksomheter millionbøter for brudd på personvernet. Er dere trygge på at dere ikke får bøter? Kanskje det kan være en idé å ta en gjennomgang av rutiner og tiltak på grunnlag av erfaringene etter et år med strengere personvern? Har dere for eksempel en sikker makuleringsløsning når GDPR-kravet om sletting skal oppfylles?  

Datatilsynet gjennomførte i 2016 kontroller for å se hvordan de sentrale helseregistrene etterlever kravene i personvernreglementet. Rapporten fra kontrollen foreligger nå. Der får registrene skryt for å ha gjort et stort stykke arbeid for å etablere en tilfredsstillende  internkontroll. Selv om kontrollene ble utført før EUs personvernfordning (GDPR) ble en del av norsk lov, mener Datatilsynet også at resultatene er relevante for å etterleve kravene i GDPR. I den forbindelsen er det nyttig å notere seg hvilke temaer de var opptatte av. I tillegg til internkontroll var det informasjonssikkerhetstiltak og de registrertes rettigheter. Har dere tiltak på plass som vil tilfredsstille Datatilsynet hvis de kommer på GDPR-ettersyn?

Papirkurven er en dårlig løsning hvis du ønsker at sensitiv informasjon ikke skal komme på avveie. Å plassere brukte PCer, laptoper, mobiltelefoner eller harddisker i hyller eller andre steder i kontorlokalene hvor mange kan ha tilgang til dem, er også risikofylt. Et mye bedre valg er sikre, plomberte beholdere og sikker makulering. Har bedriften din avtale om en slik løsning? 

Det er litt over et år siden EUs personvernforordning (GDPR) ble innført i Europa og 10 måneder siden den ble innlemmet i den norske personopplysningsloven. Det har ført til betydelig større oppmerksomhet rundt personvern. Datatilsynet har i løpet av den tida fått inn nærmere 2000 saker til behandling. De aller fleste er avviksmeldinger. Om lag 350 er klager fra privatpersoner. Temaer som går igjen er ønsker om å bli slettet og sensitive data på avveier.

Du skal sikkert om litt ha ferie. Har du før det sørget for rydding og makulering av papirdokumenter på din egen kontorplass og alle andre steder i lokalene? Og hvordan er det med PCer, nettbrett, mobiltelefoner og harddisker som ikke er i bruk? Har dere kontroll på at personopplysninger og sensitive data slettes på en forsvarlig måte slik at du kan ta ferie i visshet om at de ikke kommer på avveie? Bekymringen for at det skal skje, kan være greit å slippe.

Informasjonssikkerhet er et begrep som stadig dukker opp når den nye personopplysningsloven omtales, og det er også en viktig del av den nye sikkerhetsloven. Hvorfor er dette så viktig? Alt som har med nasjonal sikkerhet å gjøre, er selvsagt veldig viktig. Men med mangelfulle rutiner for informasjonssikkerhet er risikoen også stor for å få GDPR-bøter. 

Mange virksomheter har av og til behov for å destruere varer eller produkter. Årsakene til det kan være flere. Når man er nødt til å gjøre det, bør flere hensyn tas. Først og fremst må destruksjon skje på en sikker måte, slik at produktene ikke kommer på avveie og blir omsatt i markedet med mulighet for skader på firmaet ditt og på andre. Men man bør også tenke på at mange produkter kan resirkuleres og brukes som råstoff i ny produksjon og at farlig avfall behandles på en trygg måte. 

Datatilsynet stadfestet nylig gebyret på 1,6 millioner kroner for brudd på EUs personvernforordning (GDPR) som de tidligere har varslet Bergen kommune om.  Nå har Oslo kommune fått varsel om en enda høyere GDPR-bot, nemlig 2 millioner kroner. I begge tilfeller er begrunnelsen at kommunene ikke har ivaretatt den informasjonssikkerheten som de nye personvernreglene krever. Hvordan står det til med sikkerheten for at personopplysninger ikke skal komme på avveie i din virksomhet?

Har du tenkt over hva som er sensitiv informasjon, og hva det vil koste virksomheten din dersom den kommer på avveie? Enten det er personopplysninger eller andre sensitive data, kan det bli kostbart. Millionbøter og tapt omdømme og konkurransekraft er noe av prisen. Husk at slike data finnes både i papirdokumenter og på PCer og andre digitale lagringsmedier. Det er viktig å ha sikre sletterutiner for begge deler. 

Vi har den siste tida fått en del eksempler på hvor dramatiske konsekvenser det kan få for virksomheter hvis datasikkerheten ikke er god nok. Det kan være nok å nevne cyberangrepet mot Hydro. For alle bør det være en påminnelse om å gå gjennom oppleggene sine for informasjonssikkerhet. Hvis dere gjør det, så husk at det ikke bare gjelder sikkerhetsrutiner når PCer og annet digitalt utstyr er i bruk. Hva gjør dere når dere skal kvitte dere med gamle, utrangerte PCer? Har dere sikre nok sletterutiner?