Sletter du epost og personopplysninger når ansatte slutter?

Av Norsk Makulering 9. nov 2016

ngn_medarbeidere_rutiner.jpg

Når en medarbeider slutter, er det din plikt som arbeidsgiver å sørge for at eposter og annen elektronisk informasjon som vedkommende har hatt lagret på bedriftens datasystemer, PCer, telefoner, og andre lagringsenheter, blir slettet. Det samme gjelder personopplysninger. Har du rutiner som sikrer at din bedrift utfører dette i henhold til gjeldende lovverk?

Hva sier lovverket?

Personopplysningsforskriften, § 9-4:

"Når arbeidsforholdet opphører, skal arbeidstakers e-postkasse mv. avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten slettes innen rimelig tid". (Ifølge Datatilsynet anses "rimelig tid" som seks måneder.)

Personopplysningsloven, § 28: 

"Den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes".

Gjennomgå personalmappen

Som arbeidsgiver må du gjennomgå medarbeiderens personalmappe og slette all unødvendig informasjon. Sletting av personopplysninger skal som nevnt, utføres innen rimelig tid etter at arbeidsforholdet er opphørt.

Makulering av sensitive dokumenter i papirform må gjøres på en slik måte at det ikke er mulig å rekonstruere informasjonen. 

Slett informasjon som er lagret digitalt 

Skill ut informasjon bedriften bør eller kan ta vare på av hensyn til driften, og sørg for at øvrig informasjon blir slettet (i samråd med medarbeideren din). Dette gjelder på alle lagringsenheter: PC, mobil, nettbrett, minnepinner o.l.

Obs! Personopplysningsforskriften stiller ganske strenge krav til lov om innsyn, og du kan ikke uten videre gå inn i medarbeideres epostkasser (personopplysningsforskriften, § 9.2 og 9.3). Du kan gjøre det "når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten". Ellers skal arbeidstaker varsles, og så langt det er mulig, ha anledning til å være tilstede ved gjennomgang.

Du kan selvfølgelig la medarbeideren gå gjennom alle dokumenter og eposter før han eller hun slutter, og selv slette det som er privat informasjon. Pass på å få vedkommende til å gi deg en skriftlig bekreftelse på at dette er gjort, og at gjenværende informasjon er virksomhetsrelatert.

Hvis dere har lønningstjenester o.l. utenfor huset, må du huske at informasjon som er lagret der også blir slettet. 

Delete-knappen holder ikke

Som du sannsynligvis er klar over, er det ikke tilstrekkelig å bruke delete-knappen når du skal slette noe fullstendig. Nasjonal Sikkerhetsmyndighet har utarbeidet en oversikt over godkjente sletteverktøy. Sjekk ut den hvis du er usikker på slettemetoder.

Er det snakk om utdatert maskinvare, må dere ha en god løsning for det også. Her anbefaler jeg deg å levere utstyret inn til en profesjonell aktør som kan foreta en sikker destruksjon i form av degaussing - magnetisk sletting. På den måten kan du være 100% sikker på at informasjonen er borte for godt. 

Les også: Slik går du fram for å slette data på en sikker måte >>

Husk også på å stenge medarbeideres tilgang til bedriftens datasystem fra den dagen de har sluttet. 

Slett epostkassen

Epostadressen må slettes slik at private eposter til den som har sluttet ikke lenger havner hos dere. På dette området er mange bedrifter sløve og lar epostadresser være aktive lenge etter at arbeidsforhold har opphørt. Det kan faktisk bli kostbart ved eventuelt ettersyn - overtredelsesgebyr for dette er vanligvis kr 75 000,-, ifølge Datatilsynet.no.

Etter at epostkassen er slettet kan det være lurt å opprette en automatisk svarmelding med beskjed om at vedkommende har sluttet, og med informasjon om hvem man kan henvende seg til i stedet.

Har dere gode nok rutiner for sletting?

Mange bedrifter mangler rutiner for sikker sletting av data, selv om man er pålagt å ha det. Husk at rutiner for sletting av informasjon skal være skriftlig dokumentert.

Risikerer du å havne på forsiden av Dagens Næringsliv på grunn av dårlige rutiner? >>

Det kan være greit å være klar over at Datatilsynet kan gi bedriften betydelige bøter hvis data kommer på avveie - faktisk så mye som opptil 4% av virksomhetens årlige omsetning. I dag er maksbeløpet på rundt kr 900 000,- Det er heller ikke ubetydelig, men fra 2018 kan du risikere mer når nytt EU-direktiv trer i kraft. Sørg for å ha gode rutiner på plass allerede nå - tiden går fort.

LAST NED GRATIS GUIDE:Guide for sikker makulering av digitale lagringsmedier

 

 

Temaer: sikker datasletting, personvern, personopplysningsloven


Norsk Makulering's photo

Av: Norsk Makulering

Norsk Makulering tilbyr en oppdatert og profesjonell makulerings- og destruksjonstjeneste. Vi destruerer og makulerer etter de strengeste krav slik at det innsamlede materiale aldri kan brukes igjen i sin opprinnelige form.

Følg på Facebook

Følg på LinkedIn

Epost

Kommentarer

En blogg fra Norsk Makulering

Norsk Makulering er landets ledende aktør innen makulering. Vi tilbyr sikker makulering av sensitive dokumenter, digitale lagringsmedier, og andre varer og produkter. Hver uke publiserer vi et nytt innlegg her på Makuleringsbloggen.no. Følg oss gjerne!

Se animasjon om vår prosess: norskmakulering.no/prosess

Norsk Makulering prosess

Besøk norskmakulering.no

Last ned gratis guide for sikker makulering av digitale lagringsmedier

Siste innlegg