Mange datalagringsmedier inneholder sensitiv informasjon. Opererer du med flere typer lagringsmedier er det fort gjort å miste oversikten. Hvor mange minnepenner og kasserte mobiltelefoner har du liggende rundt omkring? Kanskje har du gamle CDer i skuffen eller harddisker stående på arkivrommet. Bestemmer du deg en dag for å ta et skippertak for å få ryddet opp i alt sammen, er det et par viktige ting du bør huske på før du kvitter deg med utstyret.

Har du regnskapsdokumenter som er eldre enn 5 år liggende og opptar arkiv- eller lagerplass? Da kan det være på tide med en liten opprydding. For litt over 7 år siden ble bokføringsloven endret og oppbevaringsplikten for de fleste dokumenter ble redusert fra 10 til 5 år.

Det er nå bare dager igjen av den nasjonale kampanjen for informasjonssikkerhet i regi av Norsk senter for informasjonssikring (NorSIS). Den pågår hele oktober med målsetting om å skape en tryggere digital hverdag. De kaller det en dugnad og tilbyr råd og opplæring. Hva har virksomheten deres gjort? Har dere for eksempel benyttet sikkerhetsmåneden til å rydde i arkiver og redusert risikoen for at personopplysninger og annen sensitiv informasjon skal komme på avveie?

Før GDPR ble en del av den norske personopplysningsloven, var det nok mange som lurte på hva som ville bli konsekvensene av de nye reglene for personvern. De siste årene har vist oss noe av det. Det har vært mange klager på brudd på bestemmelsene og mange GDPR-kontroller både her hjemme og i andre land.

GDPR og millionbøter her hjemme og i andre land, digital sikkerhet, sikker makulering av sensitive data, hacking og ID-tyveri, informasjonssikkerhet og internkontroll har vært de sentrale temaene i blogginnleggene våre i år. Det viser et tilbakeblikk jeg har tatt når vi nå nærmer oss et nytt år. Disse temaene vil nok også prege neste år, for GDPR-kontrollene vil fortsette.

Har dere oversikt over hva som finnes av sensitiv informasjon i virksomheten deres? Vet dere hvordan den blir lagret og behandlet i den daglige driften? Og sletter dere informasjonen på en sikker måte når det er nødvendig? Kan dere svare positivt på disse spørsmålene, tyder mye på at dere har god informasjonssikkerhet og sjansene for å unngå økonomisk tap er gode. I motsatt fall kan det være nyttig med en gjennomgang av sikkerhetsrutiner og kanskje samtidig ta en opprydding.

Hvordan behandler din bedrift PCer, laptopper, nettbrett og mobiltelefoner som ansatte bruker både i jobb og privat? Hva skjer når de slutter? Må de levere dem tilbake? Slettes innholdet? Hvis bedriften gir tilskudd til kjøp av mobiltelefon eller nettbrett for at ansatte skal bruke dem også i jobb, hva skjer med dem når de slutter? Blir innholdet slettet? Eller hva skjer når ansatte bytter utstyr? Slettes innhold på det gamle? Digitale lagringsmedier som ikke er i bruk, representerer en risiko for at personopplysninger og andre sensitive data kommer på avveie. Sikker makulering  kan redusere risikoen. 

En av tre norske ledere mener at det er for dyrt å sikre seg helt mot dataangrep. Det viser en undersøkelse gjennomført for Norsk senter for informasjonssikring (NorSIS). En av fem mener dessuten at det er lite sannsynlig at deres virksomhet vil bli utsatt for angrep. Det er vanskelig å tolke dette annerledes enn at for mange er villige til å ta en sikkerhetsrisiko. Et av risikoområdene, som det er enkelt å gjøre noe med, er mangel på sletting eller dårlige sletterutiner. Svikter virksomhetene på dette området, kan det nettopp være årsaken til dataangrep.

En ung kvinne leverte ganske nylig sekker med notatbøker til en gjenvinningsstasjon. En tid etterpå fikk hun melding fra en bruktbutikk i Polen om at bøkene hadde havnet hos dem, hvor de også fant navnet hennes. Ubehagelig syntes hun det var. Dette hendte en privatperson, men kunne noe slikt skjedd i deres virksomhet? For eksempel fordi dere fortsatt har papirkurver ved skrivebordene hvor dokumenter kastes og derfra går i søpla til en gjenvinningsstasjon? Kvinnens historie er et eksempel på hvor lett informasjon man ikke ønsker spredd, kan komme på avveie. Vil man hindre det, kan papirkurvene byttes ut med plomberte beholdere og alle dokumenter makuleres før de går til gjenvinning.

Hvordan er det på arbeidsplassen deres? Er det trygt å si fra om egne eller kollegers brudd på bedriftens IT-regler? I så fall tyder det på god informasjonssikkerhet, og dere har har skapt forutsetninger for en trygg digital hverdag. Dessverre er det altfor mange som ikke har det slik.