Sikkerhetsloven krever at både private og offentlige virksomheter har et utvidet ansvar for å beskytte personopplysninger og andre sensitive data i henhold til GDPR. Det finnes imidlertid andre lover, regler og bestemmelser du bør kjenne til når sensitiv informasjon skal makuleres.
Personopplysningsloven, der EUs GDPR er innebygd, skal sikre at virksomheter etablerer og opprettholder et system som sørger for et forsvarlig sikkerhetsnivå. Riktig håndtering av personopplysninger, inkludert sletting av data, er essensielt for å forhindre misbruk og lekkasje av informasjon.
Informasjonssikkerhet og internkontroll er nøkkelbegreper i denne prosessen, designet for å fremme en sterk sikkerhetskultur på tvers av alle nivåer i organisasjonene. Det er laget forskrift til personopplysningsloven, med en oversikt over endringer i andre forskrifter som følge av loven. Datatilsynet har utarbeidet en oversikt over GDPR-pikter og -veiledere som hjelper bedrifter å etterleve regelverket og få igangsatt systemer.
Rett til sletting
Rett til å bli slettet er en sentral del av personvernprinsippene. Det omtales gjerne som retten til å bli glemt. Det finnes bestemmelser i andre lover som begrenser retten til å bli slettet, blant annet arkivloven. Denne loven skal sikre at data som har kulturell og forskningsmessig verdi, eller inneholder rettslig eller viktig forvaltningsmessig dokumentasjon, blir tatt vare på for framtiden.
Les også: Retten til å bli glemt er en viktig del av GDPR
Andre sensitive data
En god informasjonssikkerhetskultur innebærer at behandlingen av andre sensitive data enn de som er personsensitive, bør inngå i de systemene man utarbeider. Noe av dette er lovregulert. Andre data er det viktig at man behandler og sletter på en sikker måte for å unngå hendelser som kan få store økonomiske konsekvenser.
Bokføringsloven har for eksempel regler for oppbevaring og behandling av bilag. Det er ikke bestemmelser i den om hvordan sletting skal skje. Regnskapsbilag og dokumenter knyttet til regnskapene som man ikke lenger har plikt til å oppbevare, bør imidlertid makuleres på en sikker måte.
Kommer de på avveie, kan det svekke omdømmet og konkurransekraften til virksomheten. Alle data som inneholder forretningssensitiv informasjon, bør man oppbevare sikkert og senere slette eller makulere på en sikker måte.
Les også: Informasjonssikkerhet er en kontinuerlig prosess
Sikkerhetsloven
Formålet med sikkerhetsloven er å trygge Norges suverenitet på flere måter. Den gjelder statlige, fylkeskommunale og kommunale organer, men også leverandører i forbindelse med sikkerhetsgraderte anskaffelser.
Loven har et eget kapittel om informasjonssikkerhet, og den inneholder bestemmelser om gradering av dokumenter. Graderingene deles inn i kategoriene:
- begrenset
- fortrolig
- hemmelig
- strengt hemmelig.
Nasjonal sikkerhetsmyndighet (NSM) har laget veiledere om hva loven innebærer, blant annet om metoder for sletting av slike dokumenter. Det finnes også flere forskrifter relatert til sikkerhetsloven du bør kjenne til.
Sikker makulering
Felles for alle disse reglene er at all sletting av data må skje på en sikker måte. Makulering av digitale lagringsmedier og papirdokumenter er en sikker måte å gjøre det på.
Dette blogginnlegget ble sist publisert 23. januar 2020 og er senere oppdatert.