Informasjonssikkerhet gjelder også papirdokumenter

En trygg digital hverdag handler like mye om sikker lagring og sletting av sensitiv informasjon på papir som i digitale systemer og skyløsninger. Havner papirdokumenter med sensitive data i hendene på uvedkommende, kan veien være kort til hacking og ID-tyveri.

Skal virksomheten ha reell kontroll på informasjonssikkerheten og etterleve kravene i personopplysningsloven (GDPR), bør både digitale og fysiske informasjonsbærere inngå i samme helhetlige sikkerhetsarbeid.

Papir er fortsatt en del av risikobildet

Til tross for økt digitalisering lagres og behandles det fortsatt store mengder sensitiv informasjon på papir som blant annet:

• personopplysninger
• forretningskritisk dokumentasjon
• interne vurderinger, avtaler og beslutningsgrunnlag

Når papirdokumenter ligger igjen i arkiver og permer, øker risikoen for at informasjonen havner på avveie. Konsekvensene kan bli alvorlige, enten gjennom direkte misbruk eller ved at informasjonen brukes som inngang til digitale angrep, identitetstyveri eller sosial manipulering.

Les mer: Dokumenter på avveie kan føre til ID-tyveri

Krav til sletting gjelder alle formater

I personopplysningsloven, der GDPR er innlemmet, stilles tydelige krav til at opplysninger ikke skal lagres lenger enn nødvendig. Dette kalles retten til sletting.

Virksomheten er pliktig til å slette personopplysninger når:

• de registrerte ber om det
• det ikke lenger er juridisk grunnlag for å ha dem lagret
• det ikke tjener et berettiget formål

For at retten til sletting («retten til å bli glemt») skal være reell, må virksomheten også ha kontroll på fysiske dokumenter og sikre at de faktisk fjernes på en forsvarlig måte.

Typiske fallgruver

Mange uønskede hendelser skyldes ikke manglende vilje. Ofte handler det om rutiner eller løsninger for sikker lagring og sletting som ikke fungerer i hverdagen.

Eksempler kan være:

• dokumenter som blir liggende igjen ved printere og kopimaskiner
• midlertidige papirbunker som blir permanente
• dokumenter som tas med i møter og glemmes igjen
• papir som havner i vanlige papirkurver
• kø eller driftsstans ved makuleringsmaskinen

Slike situasjoner øker risikoen for at uvedkommende får tilgang til sensitiv informasjon, enten internt eller eksternt. Å unngå disse fallgruvene er viktig for å oppfylle kravene i GDPR. Gjør man ikke det, og dokumenter kommer på avveie, risikerer man bøter.

Internkontroll som del av virksomhetens hverdagsrutiner

Gode rutiner for håndtering og sletting av informasjon bør være en naturlig del av virksomhetens internkontroll.

Det handler blant annet om:

• klare ansvarsforhold
• kjente og etterlevde rutiner
• løsninger som faktisk brukes i praksis

Når det er enkelt å gjøre ting riktig, reduseres også risikoen for feil.

Les også: Papirdokumenter og informasjonssikkerhet i større organisasjoner

Sikker makulering av papirdokumenter

For papirdokumenter som ikke lenger skal lagres, er fysisk makulering en sikker og anbefalt løsning. Ved makulering kvernes dokumentene slik at innholdet ikke kan rekonstrueres.

NG Secure tilbyr sikre makuleringsløsninger der hele prosessen er kontrollert og dokumentert:

• plomberte eller låste beholdere plassert hos virksomheten
• henting av sikkerhetsgodkjent personell
• transport i låste kjøretøy
• makulering i lukkede anlegg med overvåking

Det gir en tydelig og varig avslutning på dokumentets livsløp. Slike kvalitetssikrede prosesser reduserer risikoen for at sensitiv informasjon misbrukes. Ved å inkludere papirdokumenter i det helhetlige sikkerhetsarbeidet, styrker virksomheten både etterlevelse, internkontroll og tillit.

Dette blogginnlegget ble sist publisert 23. september 2019 og er senere oppdatert.