
Det er ett år siden den nye sikkerhetsloven trådte i kraft. Den medfører en del endringer. Blant annet omfatter den nå privat virksomhet. I 2018 ble GDPR innlemmet i personopplysningsloven, og vi har fått de første millionbøtene for brudd på personvernreglene der. Det finnes også andre lover og regler du bør kjenne til når personopplysninger og andre sensitive data skal makuleres. Her er en oversikt over noen sentrale bestemmelser.
Personopplysningsloven hvor EUs GDPR er innebygd, innebærer at virksomhetene har fått større ansvar og flere plikter for å hindre at opplysninger kommer på avveie og blir misbrukt. Det skal være et system for behandling av personopplysninger, hvor også sletterutiner inngår. To sentrale stikkord for denne behandlingen er informasjonssikkerhet og internkontroll. De skal sikre at man har en god sikkerhetskultur i alle ledd i virksomhetene.
Til hjelp i arbeidet med å få slike systemer er på plass, har Datatilsynet utarbeidet oversikt over GDPR-pliktene og veiledere for å etterleve regelverket.
Det er laget forskrift til personopplysningsloven. Den inneholder en oversikt over endringer i andre forskrifter som er en følge av loven.
Rett til sletting
Rett til å bli slettet er en sentral del av personvernprinsippene. Det omtales gjerne som retten til å bli glemt. Det finnes bestemmelser i andre lover som begrenser retten til å bli slettet, blant annet arkivloven. Denne loven skal sikre at data som har kulturell og forskningsmessig verdi eller inneholder rettslig eller viktig forvaltningsmessig dokumentasjon, blir tatt vare på for framtiden.
Andre sensitive data
En god informasjonssikkerhetskultur innebærer at behandlingen av andre sensitive data enn de som er personsensitive, bør inngå i de systemene man utarbeider. Noe av dette er lovregulert. Andre er det viktig at man behandler og sletter på en sikker måte for å unngå hendelser som kan få store økonomiske konsekvenser.
Bokføringsloven har for eksempel regler for oppbevaring og behandling av bilag. Det er ikke bestemmelser i den om hvordan sletting skal skje, men regnskapsbilag og dokumenter knyttet til regnskapene som man ikke lenger har plikt til å oppbevare, bør makuleres på en sikker måte. Kommer de på avveie kan det svekke omdømmet og konkurransekraften til virksomhetene. Alle data som inneholder forretningssensitiv informasjon, bør man oppbevare sikkert og senere slette eller makulere på en sikker måte.
Sikkerhetsloven
Som nevnt fikk vi ny sikkerhetslov i januar 2019. Formålet med loven er å trygge Norges suverenitet på flere måter. Den gjelder statlige, fylkeskommunale og kommunale organer, men også leverandører i forbindelse med sikkerhetsgraderte anskaffelser.
Loven har et eget kapittel om informasjonssikkerhet og den inneholder bestemmelser om gradering av dokumenter. Graderingene deles inn i kategoriene begrenset, fortrolig, hemmelig og strengt hemmelig. Nasjonal sikkerhetsmyndighet (NSM) har laget flere veiledere om hva den nye loven innebærer, blant annet om metoder for sletting av slike dokumenter.
Det finnes flere forskrifter relatert til sikkerhetsloven.
Sikker makulering
Felles for alle disse reglene er at når data skal slettes, så må det skje på en sikker måte. Makulering av digitale lagringsmedier og papirdokumenter er en sikker måte å gjøre det på.
Vi har utarbeidet gratis guider for sikker makulering som du finner på denne siden.