Et knapt halvår etter at EUs personvernforordning (GDPR) ble en del av personopplysningsloven, varslet Datatilsynet den første boten – eller overtredelsegebyret – for brudd på reglene for personvern. Bergen kommune har ikke sørget for god nok informasjonssikkerhet og kan blitt nødt til å betale 1,6 millioner kroner. Dette kan kanskje være en påminnelse om å ta en titt på informasjonssikkerheten i din virksomhet. Er den god nok og er du klar for å ta i mot Datatilsynet hvis de dukker opp for GDPR-kontroll?
Tidligere måtte man innhente tillatelse eller søke konsesjon for å samle inn og behandle personopplysninger. Med den nye loven trenger man ikke det. I stedet stilles det krav som må oppfylles og det foretas etterkontroll. Med kravene følger plikt til å få på plass en informasjonssikkerhet som hindrer at personopplysninger kommer på avveie og i hendene på uvedkommende. Datatilsynet har utarbeidet flere veiledere som skal hjelpe virksomhetene med å lage rutiner og systemer for denne sikkerheten.
Mangelfull personopplysningssikkerhet
Datatilsynet mener at personopplysningssikkerheten i datasystemene som blir brukt i grunnskolen i Bergen kommune har vært mangelfull. Filer med brukernavn og passord til over 35.000 brukere har ligget tilgjengelig for elever og ansatte i grunnskolen. Det har vært mulig å logge seg inn på skolens ulike informasjonssystem som elev, ansatt eller administrator på skolen og dermed få tilgang til personopplysninger om andre elever og ansatte. Opplysningene som da ble tilgjengelige, var brukeres navn, passord, fødselsnummer, adresse, skoletilhørighet og skoleklasse.
Datatilsynet har lagt vekt på at Bergen kommune ikke hadde etablert tofaktorautentisering ved innlogging, selv om kommunen hadde kunnskap om at dette burde tas i bruk. Dermed har de skapt en mulighet for at uvedkommende kunne få tilgang til personopplysninger.
Sensitiv informasjon på avveie
Det stilles med andre ord krav om å ha informasjonssikkerhet som hindrer at sensitiv informasjon kommer på avveie. Skal man hindre det, må man ha sikkerhet i alle ledd - også når opplysninger skal slettes. Sikre sletterutiner må på plass. For en viktig del av det styrkede personvernet i den nye loven, er det som kalles retten til å bli glemt. Det betyr at personopplysninger skal slettes når det ikke lenger er grunnlag for å lagre dem. Da må det skje på en sikker måte enten opplysningene finnes i digital form eller på papir. Slik sikker sletting kan NG Secure tilby.
Makulering av papir og digitale lagringsmedier
Vår metode for å hindre at personopplysninger og andre sensitive data kommer på avveie når de skal slettes, er å makulere både papirdokumenter og digitale lagringsmedier. Det skjer ved at de kvernes i små biter og bitene blandes, slik at det ikke blir mulig å gjenskape det opprinnelige innholdet.
Vi legger vekt på en sikker prosess. Dokumenter og digitale lagringsmedier kan legges i plomberte beholdere som vi plasserer ut. De hentes av uniformerte sjåfører med synlig ID-kort som transporterer dem i låste biler til et lukket anlegg med videoovervåking hvor kverningen skjer.
Alle som har tilgang til sensitivt materiale ved arbeid for NG Secure gjennomgår en grundig bakgrunnssjekk. De har signert taushetserklæring og instruks for kvalitet- og sikkerhetskrav.
Kontakt oss gjerne for mer informasjon. Du kan også laste ned en gratis sjekkliste for GDPR som dere finner i denne bloggen. Den vil forhåpentligvis være nyttig i arbeidet med informasjonssikkerheten hos dere.
