Det er snart et og et halvt år siden GDPR ble en del av den norske personopplysningsloven. Før det skjedde, var det nok mange som lurte på hva som ville bli konsekvensene av de nye reglene for personvern. 2019 har vist oss noe av det. Det har vært mange klager på brudd på bestemmelsene og mange GDPR-kontroller både her hjemme og i andre land. Det har blant annet ført til flere millionbøter. Vi må være forberedt på at EUs personvernforordning vil prege det nye året også. Da kan det være greit å ha noenlunde oversikt over hva som er personopplysninger og andre sensitive data. Har din virksomhet det?

GDPR og millionbøter her hjemme og i andre land, digital sikkerhet, sikker makulering av sensitive data, hacking og ID-tyveri, informasjonssikkerhet og internkontroll har vært de sentrale temaene i blogginnleggene våre i år. Det viser et tilbakeblikk jeg har tatt når vi nå nærmer oss et nytt år. Disse temaene vil nok også prege neste år, for GDPR-kontrollene vil fortsette.

Skal du ut å reise i forbindelse med jula? Hva gjør du med boardingpasset etterpå? Legger det i lommen på setet foran eller kaster det i avfallskurven på flyplassen på vei ut? Er du kanskje blant dem som tar bilde av boardingpasset og legger ut som reisehilsen til alle kjente på instagram? Det kan være risikabelt og i verste fall en invitasjon til hacking. Strekkodene på boardingpasset inneholder personopplysninger det er lett å kopiere.

Hender det at du på jobben gjør notater eller stikkord på post-it-lapper fra samtaler med andre? Lar du disse ligge på bordplaten eller fester dem på veggen? Eller hender det at andre dokumenter med personopplysninger blir liggende på pulten din når du ikke er der? Ja, da kan det være brudd på personvernreglene i GDPR og medføre bot. En dansk kommune unngikk bot fordi de makulerte post-it-lappene etter kort tid. 

Et eiendomsselskap har satt tysk rekord i GDPR-bot. Da det tyske datatilsynet tok en sjekk hos selskapet, konkluderte de med at det ikke hadde gode nok rutiner for sletting og hadde dessuten ikke slettet personopplysninger som de ikke lenger hadde grunnlag for å ha lagret. Om lag 150 millioner kroner syntes datatilsynet var en passende bot for dette bruddet på EUs personvernforordning GDPR).

Har dere oversikt over hva som finnes av sensitiv informasjon i virksomheten deres? Vet dere hvordan den blir lagret og behandlet i den daglige driften? Og sletter dere informasjonen på en sikker måte når det er nødvendig? Kan dere svare positivt på disse spørsmålene, tyder mye på at dere har god informasjonssikkerhet og sjansene for å unngå økonomisk tap er gode. I motsatt fall kan det være nyttig med en gjennomgang av sikkerhetsrutiner og kanskje samtidig ta en opprydding.

Den nasjonale sikkerhetsmåneden er over. Forhåpentligvis har dere benyttet den til å rydde i arkiver og på lagerrom og gått gjennom rutiner for å sikre at sensitive data blir slettet på en sikker måte når de skal? Det er i så fall bra. Men det er viktig å huske at informasjonssikkerhet er en kontinuerlig prosess. Opplæring av ansatte må skje fortløpende og rutiner må gjennomgås med jevne mellomrom. Bare da skapes en sikkerhetskultur som gir trygghet for at sensitiv informasjon ikke kommer på avveie.

Etter Brennpunktprogrammet «Søppelsmuglerne» på NRK har den ulovlige handelen med datautstyr stjålet fra mottaksstasjoner og gjenvinningsanlegg, fått mye oppmerksomhet. Mindre fokus har det vært på en annen side av denne kriminelle aktiviteten, nemlig risikoen for at  personopplysninger og andre sensitive data kan komme i hendene på uvedkommende og brukes til hacking og ID-tyver. Sensitiv informasjon skal ikke «gjenvinnes», men slettes! Ved å levere det  til sikker makulering i stedet for til usikre mottakssanlegg, går datautstyret til gjenvinning samtidig som innholdet slettes.

Det er nå en uke igjen av den nasjonale kampanjen for informasjonssikkerhet i regi av Norsk senter for informasjonssikring (NorSIS). Den pågår hele oktober med målsetting om å skape en tryggere digital hverdag. De kaller det en dugnad og tilbyr råd og opplæring. Hva har virksomheten deres gjort? Har dere for eksempel benyttet sikkerhetsmåneden til å rydde i arkiver og redusert risikoen for at personopplysninger og annen sensitiv informasjon skal komme på avveie?

Hvordan behandler din bedrift PCer, laptopper, nettbrett og mobiltelefoner som ansatte bruker både i jobb og privat? Hva skjer når de slutter? Må de levere dem tilbake? Slettes innholdet? Hvis bedriften gir tilskudd til kjøp av mobiltelefon eller nettbrett for at ansatte skal bruke dem også i jobb, hva skjer med dem når de slutter? Blir innholdet slettet? Eller hva skjer når ansatte bytter utstyr? Slettes innhold på det gamle? Digitale lagringsmedier som ikke er i bruk, representerer en risiko for at personopplysninger og andre sensitive data kommer på avveie. Sikker makulering  kan redusere risikoen.