Avviksrapporter fra Datatilsynet viser at interne glipper ofte er årsaken når sensitiv informasjon kommer på avveier hos bedrifter, offentlige etater eller organisasjoner. Glippene skyldes for en stor del manglende internkontroll og rutiner. Ansvaret for slike brudd på personopplysningsloven har daglig leder.
Glipper med personopplysninger på avveie skyldes gjerne svikt i rutinene på flere trinn i behandlingen – også når opplysningene skal slettes. I tillegg til personopplysningsloven finnes det regler for hvordan sensitiv eller gradert informasjon skal slettes i sikkerhetsloven og beskyttelsesinstruksen.
De fleste bedrifter og organisasjoner har på ulike tidspunkt behov for å samle inn og behandle opplysninger om personer. Når man kan gjøre det og hvordan de skal behandles enten det er på papirdokumenter eller digitalt, reguleres av personopplysningsloven. Det er regler blant annet om
- Hvem som kan behandle slike opplysninger
- Hvordan behandlingen skal foregå
- Begrensninger og varighet ved bruk
- Sletting av informasjon
- Plikter for behandlingsansvarlig
- Rettigheter for den som registreres
Personopplysninger er informasjon som kan knyttes til en enkeltperson slik som navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, fødselsdato og personnummer.
Det samme gjelder opplysninger om adferdsmønstre. Blant annet informasjon om:
- Hvilke butikker du handler i
- Hva du handler
- Hvilke internett sider du besøker
- Hvilke tv kanaler du ser på
- Hvilke reiser du har bestilt
- Hvor du beveger deg.
Sensitive opplysninger trenger særlig vern
Behandling av sensitive personopplysninger er underlagt strenge regler, og trenger særlig vern. Ved behandling av slik informasjon krever loven som hovedregel at konsesjon fra datatilsynet må være gitt. Loven inneholder også bestemmelser om kameraovervåking. Loven betegner følgende opplysningskategorier som sensitive:
- Rase eller etnisk opphav
- Politiske oppfatninger
- Religiøs eller filosofisk overbevisning
- Medlemskap i fagforeninger
- Helse
- Seksualliv
Krav og rettigheter
Virksomheten kan kun samle inn, registrere og behandle opplysninger om personer dersom den som blir registrert har gitt sitt samtykke. Videre gjelder det bare innsamling for bestemte og lovlige formål. Det skal ikke registreres flere opplysninger en strengt nødvendig, og de skal kun brukes til det de i utgangspunktet ble samlet inn for. Opplysningene må også sikres slik at uautoriserte personer ikke får tilgang til disse.
Loven beskytter den enkelte slik at personlige opplysninger blir behandlet på en forsvarlig måte. Den enkelte skal ha bestemmelsesrett som blant annet innebærer rett til innsyn i registrerte opplysninger, og rett til å kreve at feil eller unøyaktigheter rettes opp.
Når en virksomhet samler inn personopplysninger, må det også etableres et internkontrollsystem med rutiner som viser hvordan kravene i personopplysningsloven etterleves.
Lurer du på hvilke avvik som skal meldes til Datatilsynet? Det kan du lese om her >>
Gradert eller sensitiv informasjon skal slettes
Den behandlingsansvarlige skal ikke lagre informasjon lenger enn det som er strengt nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke opplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. Både sikkerhetsloven, beskyttelsesinstruksen og personopplysningsloven stiller krav til sikker sletting av gradert eller sensitiv informasjon.
Personopplysningsloven med tilhørende forskrifter stiller ingen krav til hvordan en virksomhet sletter og destruerer personopplysninger. Hvis det dreier seg om sikkerhetsgradert informasjon derimot, er det klare regler for hvordan sikkerhetsmakulering skal utføres. Dette er hjemlet i sikkerhetsloven. Lov og forskrift forvaltes av Nasjonal sikkerhetsmyndighet (NSM) og du finner dem på Lovdata.
Flere destruksjonsmetoder
Destruksjonsmetoden for makulering av informasjon varierer med hvilken type lagringsmedium som skal makuleres. Det gjelder å ha rutiner for hvordan de forskjellige lagringsmediene skal destrueres, og å påse at alle ansatte er kjent med rutinene.
Etabler derfor gode rutiner for:
- Oppbevaring og håndtering
- Sletting av informasjon
- Sletting av digital lagring
- Hvordan dokumenter, skjemaer og notater skal kastes
- Hvordan PCer og telefoner skal avhendes
- Kontroll på materiale hele veien frem til destruksjon
Husk at det ikke er tilstrekkelige å tømme harddisken før du kvitter deg med PCen eller telefonen. Du må sørge for sikker sletting av data.
Les også: Hva er sikker datasletting? >>
Velger dere å ha en makuleringsbeholder, bør du også sørge for å velge en seriøs aktør. En makuleringsbeholder bør være selvsagt inventar i enhver virksomhet som håndterer dokumenter med opplysninger om personer.