Informasjonssikkerhet er et begrep som stadig dukker opp når den nye personopplysningsloven omtales, og det er også en viktig del av den nye sikkerhetsloven. Hvorfor er dette så viktig? Alt som har med nasjonal sikkerhet å gjøre, er selvsagt veldig viktig. Men med mangelfulle rutiner for informasjonssikkerhet er risikoen også stor for å få GDPR-bøter. Informasjonssikkerhet - eller personopplysningssikkerhet som man snakker om i GDPR-sammenheng - dreier seg først og fremst om å ha rutiner og tiltak som hindrer at sensitiv informasjon kommer på avveie. Det var denne sikkerheten som var mangelfull da Datatilsynet varslet millionbøter mot Oslo og Bergen kommuner.
Informasjonssikkerhet i alle ledd
Hva bør man tenke på når man utarbeider et system for informasjonssikkerhet? Personopplysningsloven innebærer større ansvar og flere plikter for norske virksomheter. Datatilsynet har utarbeidet veiledninger om disse pliktene. Informasjonssikkerhet betyr at man lager rutiner og gjennomfører tiltak for å oppfylle alle pliktene.
Kravet om å ha et system for informasjonssikkerhet, bør også gjelde annen sensitiv informasjon som virksomhetene har. Det kan føre til stor skade for bedrifter hvis slik informasjon kommer på avveie. Tap av omdømme og svekket konkurransekraft kan bli resultatet hvis det skjer.
I den nye sikkerhetsloven som gjelder fra 1. januar i år, understrekes også viktigheten av informasjonssikkerhet. Loven har et eget kapittel om det. Kravene der vil gjelde både offentlige og private virksomheter som behandler data av betydning for den nasjonale sikkerheten.
Sjekk om dere har rutiner som gjelder for alle ledd i virksomheten deres. Det må foretas en risikovurdering av om personopplysninger kan komme på avveie i alle delene av behandlingen av dem. Tiltak må iverksettes for å hindre at uønskede hendelser inntreffer. Mørketallsundersøkelsen for 2018, som Næringslivets Sikkerhetsråd står bak, viser at for mange virksomheter har slike hendelser.
Informasjonssikkerhetskultur
Like viktig som et regelverk som berører alle ledd i virksomheten, er det at alle ansatte kjenner til regelverket og følger det. Betydningen av dette ble understreket da resultatet av Mørketallsundersøkelsen ble presentert. Informasjonssikkerhet er en kontinuerlig prosess. En del av denne prosessen er jevnlig testing av om rutinene fungerer godt nok og et kontinuerlig opplæringsprogram for de ansatte. Da skapes en informasjonssikkerhetskultur som gir trygghet for at det ikke forekommer brudd på personvernreglene. Hjelp til slik opplæring kan man blant annet få hos Norsk senter for informasjonssikring (NorSIS), som årlig har en nasjonal kampanje for informasjonsikkerhet.
Retting og sletting
Jeg påpekte at informasjonssikkerhet må gjelde alle ledd i virksomheten. Da er det naturlig for meg å nevne at det også gjelder når personopplysninger eller andre sensitive data skal slettes. Et av GDPR-kravene gjelder retting og sletting. Når det ikke lenger er grunnlag for å beholde lagrede personopplysninger, skal de slettes. I sletteprosessen kan de lett komme på avveie. NG Secure kan hjelpe dere med å hindre at det skjer.
Vi har spesialkverner for makulering av både papirdokumenter og digitale lagringsmedier. Etter kverning kan ikke det opprinnelige innholdet gjenskapes. Kvernet materiale går til gjenvinning.
For å gi kundene trygghet har vi i vår prosess satset mye på sikkerhet i alle ledd fra vi setter ut plomberte beholdere hvor dere kan legg dokumenter og digitale lagringsmedier, til de hentes og transporteres til et lukket og videoovervåket anlegg og blir kvernet. Alt personell som behandler innsamlet materiale er sikkerhetsgodkjente.
At informasjonssikkerhet skal være en kontinuerlig prosess betyr at dere med jevne mellomrom har behov for å gå gjennom eget regelverk for personvern. Vi har utarbeidet en gratis sjekkliste for GDPR, som vi håper da kan være til hjelp.