Denne gangen har jeg lyst til å bruke blogginnlegget mitt til å fortelle litt om oss selv. Som dere vet, stiller GDPR nye krav om personvern til alle norske virksomheter og pålegger dem nye plikter. Det er krav og plikter vi også tar på alvor. Derfor har vi nå investert i økt sikkerhet og nye løsninger som skal tilfredsstille kravene ved sletting av personopplysninger og andre sensitive data. Vi har også laget en ny web-side som forteller om tjenestene og sikkerheten vår.

De fleste virksomhetene har samlet personopplysninger og andre sensitive data både digitalt og på papir. Kravene om informasjonssikkerhet og sikre sletterutiner som en del av det, gjelder for begge. Har du nødvendige rutiner for å oppfylle disse kravene på plass, eller er det en sjanse for at det ligger gjenglemte dokumenter eller eldre harddisker på steder hvor uvedkommende for lett kan finne dem?

Forrige uke arrangerte Nasjonal Sikkerhetsmyndighet (NSM) Nasjonale sikkerhetsdager.  Hovedtema var denne gangen hvordan man gjennom forebyggende tiltak kan hindre at sensitiv informasjon kommer på avveie. Drøftelsene skjedde med ferske eksempler på alvorlige brudd på datasikkerheten, ny sikkerhetslov med forskrifter, nye nasjonale strategier for digital sikkerhet og GDPR som bakteppe. Uka før hadde vi i Norsk Makulering våre egne årlige sikkerhetsdager.

Bruker dere nok ressurser på opplæring og kompetanseutvikling innen IT-sikkerhet? Gjør dere ikke det, blir informasjonssikkerheten i virksomheten for dårlig. Sjansene øker da for å pådra seg store driftskostnader og høye bøter for brudd på EUs personvernforordning (GDPR). De første millionbøtene for GDPR-brudd er allerede varslet.

Har dere mange PCer, nettbrett, mobiltelefoner og andre digitale lagringsmedier liggende som ikke er i bruk i virksomheten deres? I få fall bør dere tenke over hvilken risiko for brudd på regelverket for personvern og dermed for GDPR-bøter de kan representere. De første millionbøtene for slike brudd er allerede varslet. Derfor kan det være på tide å slette eventuelle sensitive data som finnes på gamle lagringsmedier.

Det franske datatilsynet har satt en foreløpig rekord for bøtelegging av brudd på GDPR-regelverket. Det amerikanske søkeselskapet Google har fått en bot på 50 millioner euro, eller om lag 490 millioner kroner – for brudd personvernreglene nedfelt i EUs personvernforordning (GDPR). Boten skyldes manglende åpenhet ved innhenting av samtykke fra brukerne når de samler inn personopplysninger om dem.

Personvern og miljøvern kan gå hånd i hånd. Hvis du makulerer papirdokumenter og digitale lagringsmedier som ikke lenger er i bruk, bidrar du til gjenvinning, mindre bruk av råvarer og skaper arbeidsplasser. I tillegg bidrar du til at EE-avfall behandles på en forsvarlig måte. Du kan med andre ord oppfylle kravene i den nye personopplysningsloven og GDPR og bidra litt til det grønne skiftet.

Jeg har flere ganger i disse bloggene understreket hvor viktig det er å ha et system med rutiner for informasjonssikkerhet som hindrer at at personopplysninger og annen sensitiv informasjon kommer på avveie. I et slikt system kan det være lett å glemme at printere og kopimaskiner kan være hull i informasjonssikkerheten. Glemmer dere det, er risikoen stor for at uvedkommende får tilgang til sensitive data. Det kan ramme personer og skade virksomheten din. 

Har dere mange PCer, harddisker og andre digitale lagringsmedier som ikke lenger er i bruk? Hva gjør dere med dem? Er de lagret på en sikker måte, og har dere rutiner for makulering av lagringsmediene slik at personopplysningene og andre sensitive data ikke kommer i hendene på uvedkommende? Når EUs personvernforordning (GDPR) nå er en del av norsk lovgivning, har dere plikt til å ha slike rutiner.

Et knapt halvår etter at EUs personvernforordning (GDPR) ble en del av personopplysningsloven, varslet Datatilsynet den første boten – eller overtredelsegebyret – for brudd på reglene for personvern. Bergen kommune har ikke sørget for god nok informasjonssikkerhet og kan blitt nødt til å betale 1,6 millioner kroner. Dette kan kanskje være en påminnelse om å ta en titt på informasjonssikkerheten i din virksomhet. Er den god nok og er du klar for å ta i mot Datatilsynet hvis de dukker opp for GDPR-kontroll?