Jeg har flere ganger i disse bloggene understreket hvor viktig det er å ha et system med rutiner for informasjonssikkerhet som hindrer at at personopplysninger og annen sensitiv informasjon kommer på avveie. I et slikt system kan det være lett å glemme at printere og kopimaskiner kan være hull i informasjonssikkerheten. Glemmer dere det, er risikoen stor for at uvedkommende får tilgang til sensitive data. Det kan ramme personer og skade virksomheten din. 

Har dere mange PCer, harddisker og andre digitale lagringsmedier som ikke lenger er i bruk? Hva gjør dere med dem? Er de lagret på en sikker måte, og har dere rutiner for makulering av lagringsmediene slik at personopplysningene og andre sensitive data ikke kommer i hendene på uvedkommende? Når EUs personvernforordning (GDPR) nå er en del av norsk lovgivning, har dere plikt til å ha slike rutiner.

Et knapt halvår etter at EUs personvernforordning (GDPR) ble en del av personopplysningsloven, varslet Datatilsynet den første boten – eller overtredelsegebyret – for brudd på reglene for personvern. Bergen kommune har ikke sørget for god nok informasjonssikkerhet og kan blitt nødt til å betale 1,6 millioner kroner. Dette kan kanskje være en påminnelse om å ta en titt på informasjonssikkerheten i din virksomhet. Er den god nok og er du klar for å ta i mot Datatilsynet hvis de dukker opp for GDPR-kontroll?

Dere har sikkert registrert at det pågår en debatt om personvern og pasientsikkerhet ved Oslo Universitetssykehus (OUS). Problemstillingen er om personvernet kan gå ut over pasientsikkerheten. Det er en debatt jeg selvsagt ikke skal legge meg opp i. Men jeg registrerer at den berører sider ved personvernet som gjelder alle virksomhetsledere. I debatten påpeker Datatilsynet at det er øverste leder som tar beslutningene og har personvernansvaret. Personvernombudet gir råd. Dessuten har virksomheter plikt til å vurdere risikoen for brudd på personvernet og iverksette tiltak for å redusere risikoen.

Godt nyttår! Du var kanskje en av dem som fikk tatt den store ryddesjauen i jula? Hvis ikke kan det være lurt å starte året med en opprydding og sikker makulering av sensitiv informasjon. Da kan du hindre at slike opplysninger kommer på avveie og samtidig starte det nye året med fokus på informasjonssikkerhet. La 2019 bli sikkerhetsåret! Da kan bøter unngås.

Er du i gang med å planlegge den store juleoppryddingen på kontoret ditt og i resten av virksomheten? Husk da at en slik ryddesjau kan innebære risiko for at sensitiv informasjon kommer på avveie. Når det snart er et halvt år siden EUs personvernforordning (GDPR) ble en del av personopplysningsloven, er det enda viktigere enn før å hindre at det skjer. Alvorlige brudd på personvernet kan nå føre til millionbøter. 

Hvor ofte har du selv glemt igjen eller funnet dokumenter andre har lagt fra seg ved kopimaskiner eller printere i virksomheten din? Har disse inneholdt personopplysninger eller andre sensitive data? I så fall kan det være en fare for at uvedkommende får tilgang til informasjon de ikke burde,  og  som de kan misbruke. 

Har du hørt om «VG-testen»? Den består i å svare på hva det vil føre til hvis en hendelse i virksomheten du har ansvaret for, kommer på forsiden av VG. Konsekvensene kan bli ubehagelige hvis hendelsen er negativ. Eksempelvis kan det skje hvis sensitive data kommer på avveie på grunn av brudd på informasjonssikkerheten. Hvis du vil unngå det, må jeg spørre:  - Har du fortsatt papirkurven ved skrivebordet ditt? Havner dokumenter der, kan veien være kort til uheldige medieoppslag.

Med nytt høyt bøtenivå etter at EUs personvernforordning (GDPR) ble en del av personopplysningsloven, er det viktig å hindre at personopplysninger kommer på avveie. Derfor  kan det være lurt å gå gjennom de rutinene dere har for sletting av sensitive dokumenter og spørre dere selv om de er effektive og sikre nok. Vær klar over at effektiv og sikker makulering dreier seg om mer enn å velge makuleringsmaskin.

Ett av spørsmålene vi av og til får, er om det kan være nødvendig å makulere dokumenter som inneholder navn og telefonnumre. Da vises det til at det er tilgjengelige opplysninger i telefonkataloger og andre steder. Slik spørsmålet stilles, virker kanskje det opplagte svaret at makulering ikke er nødvendig, men...