Spørsmålet om hvilke data det er nødvendig å slette, er like relevant nå som det var ved innføringen av EUs personvernforordning (GDPR). Bedriften er lovpålagt å slette personopplysninger, mens annen informasjon er lurt å slette av økonomiske eller sikkerhetsmessige grunner.
GDPR er innlemmet i personopplysningsloven og forklarer hvilke data som må slettes. Formålet er å hindre at personopplysninger og annen sensitiv informasjon kommer på avveie. Opplysninger bedriften ikke lenger har grunnlag for å lagre og behandle skal slettes, ifølge loven. De kan finnes både i papirdokumenter i arkiver og i gamle PC-er som ikke er i bruk.
Sikker makulering er en effektiv og trygg måte å oppfylle kravene i personopplysningsloven. Likevel er det få som har full oversikt over hva som faktisk bør slettes – og hvordan det gjøres på en sikker måte.
Få oversikt over dataene som må slettes
Personopplysningsloven skiller mellom sensitive og vanlige personopplysninger. Noen sensitive data virker opplagt at man bør slette. Andre, tilsynelatende "vanlige" opplysninger, både på papir og digitalt, bør bedriften også ta høyde for.
Dersom uvedkommende får tak i personopplysninger, kan det føre til personvernkrenkelser eller gi økonomiske tap. Vanlige opplysninger kan settes sammen med andre opplysninger og dermed gjøre det mulig for kriminelle å utnytte dem til blant annet hacking og ID-tyveri. Derfor er det svært viktig at alle ansatte i bedriften går gjennom og kjenner til hvilke data som helst ikke bør komme på avveie.
Sensitive personopplysninger
For behandling av sensitive opplysninger gjelder spesielle krav for sletting. Sikker makulering er en god måte å oppfylle disse kravene på. Loven nevner følgende som sensitive personopplysninger:
- Rasemessig eller etnisk bakgrunn
- Politisk, filosofisk eller religiøs oppfatning
- At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
- Helseforhold
- Seksuelle forhold
- Medlemskap i fagforeninger
Vanlige personopplysninger
Vanlige personopplysninger omfattes ikke av reglene for særlige kategorier av personopplysninger, men kan likevel ikke behandles fritt.
Dette kan være:
- fødselsnumre
- telefonnumre
- kundenumre
- andre identifikasjonsnumre
Årsaken til at de ikke kan behandles fritt, er at disse kan settes sammen med andre opplysninger hvis de kommer på avveie og øke faren for misbruk.
Les mer: Stor bedrift, store konsekvenser: Har dere full kontroll på datasøppelet?
Annen sensitiv informasjon bør makuleres
Det finnes mye annen sensitiv informasjon som av ulike grunner bør makuleres. Vær klar over at enkeltopplysninger fra ulike sensitive dokumenter også kan settes sammen og misbrukes.
I noen sammenhenger vil disse opplysningene være taushetsbelagte, eller inngå som en del av avtaler og kundeforhold, som kan påføre egen og andres virksomhet skade dersom uvedkommende får tilgang til dem.
Å lage en fullstendig liste over slik informasjon er vanskelig, men nedenfor er noen eksempler på dokumenter og informasjon som bør makuleres:
- Pass
- Boardingpass
- Lønnsspesifikasjoner
- Lønnsoppgaver
- Ansettelsesavtaler
- Navn
- Adresser
- Kontonumre
- Selvangivelser
- Kontoutskrifter
- Inkassokrav
- Regnskapsbilag man ikke lenger har plikt til å oppbevare
- Dokumenter i bruk ved årsoppgjørene
- Organisasjonskart
- Styredokumenter
- Referater
Listen kan gjøres en god del lengre, hvilket indikerer at det sikreste – som nevnt – er å makulere alt.
Til deg som har ansvaret: Det handler om mer enn bare sletting
For større virksomheter med høy datatrafikk og store mengder dokumentasjon er ikke datasletting bare et IT-spørsmål. Det er et strategisk og juridisk ansvar.
Med NG Secure får bedriften:
- trygg håndtering og makulering som forhindrer GDPR-brudd og informasjon på avveie
- sikker og miljøvennlig gjenvinning av PC-er, mobiler, servere, dokumenter og tekstiler
- dekning i hele Norge – vi henter der dere er
Dette blogginnlegget ble sist publisert 21. september 2023 og er senere oppdatert.
