Stor bedrift, store konsekvenser: Har dere full kontroll på datasøppelet?

Datatilsynets avviksrapporter viser at personopplysninger på avveie ofte skyldes svikt i interne rutiner og kontroller – også når opplysningene skal slettes. Jo større bedrift, desto større blir følgene ved en slik hendelse. Derfor bør du ha god kontroll på hva som skjer med ‘datasøppelet’ etter det kastes.

De fleste bedrifter og organisasjoner har på ulike tidspunkt behov for å samle inn og behandle personopplysninger knyttet til enkeltpersoner, som:

• navn
• adresse
• telefonnummer
• e-postadresse
• IP-adresse
• bilnummer
• bilder
• fingeravtrykk
• fødselsdato
• personnummer

Større virksomheter håndterer enorme mengder personopplysninger. Feilaktig eller mangelfull sletting av slike data kan få alvorlige konsekvenser, inkludert millionbøter og omdømmetap.

Daglig leders dataansvar

Personopplysningsloven regulerer innsamling og behandling av personopplysninger, enten det er på papirdokumenter eller digitalt. Det er regler om blant annet:

• hvem som kan behandle slike opplysninger
• hvordan behandlingen skal foregå
• begrensninger og varighet ved bruk
• sletting av informasjon
• plikter for behandlingsansvarlig
• rettigheter for den som registreres

Når dataene slettes, kan ikke du som daglig leder overlate datasøppelets skjebne til tilfeldighetene. Du har et juridisk ansvar for at all håndtering og sletting av personopplysninger skjer i tråd med regelverket. Sørg for at du har klare rutiner for sikker makulering og datasletting – og en pålitelig samarbeidspartner som sikrer at alt håndteres korrekt og miljøvennlig.

I tillegg til personopplysningsloven finnes det regler for hvordan sensitiv eller gradert informasjon skal slettes i sikkerhetsloven og beskyttelsesinstruksen.

Det samme gjelder opplysninger om adferdsmønstre, blant annet informasjon om:

• hvilke butikker du handler i
• hva du handler
• hvilke nettsider du besøker 
• hvilke tv-kanaler du ser på
• hvilke reiser du har bestilt
• hvor du beveger deg

Sensitive opplysninger trenger særlig vern

Behandling av sensitive personopplysninger er underlagt strenge regler og trenger særlig vern. Ved behandling av slik informasjon krever loven som hovedregel konsesjon fra Datatilsynet. Loven inneholder også bestemmelser om kameraovervåking.

Loven betegner følgende opplysningskategorier som sensitive:

• rase eller etnisk opphav
• politiske oppfatninger
• religiøs eller filosofisk overbevisning
• medlemskap i fagforeninger
• helse
• seksualliv

Les også: Lederansvar: Feil behandling av personopplysninger kan gi omdømmetap

Krav og rettigheter til behandling av personopplysninger

Virksomheten kan kun samle inn, registrere og behandle opplysninger om personer som har gitt sitt samtykke. Videre gjelder det bare innsamling for bestemte og lovlige formål. Det skal ikke registreres flere opplysninger enn strengt nødvendig, og de skal kun brukes til det de i utgangspunktet ble samlet inn for. Opplysningene må også sikres slik at uautoriserte personer ikke får tilgang.

Loven beskytter den enkelte slik at personlige opplysninger blir behandlet på en forsvarlig måte. Den enkelte skal ha bestemmelsesrett som blant annet innebærer rett til innsyn i registrerte opplysninger og rett til å kreve at feil eller unøyaktigheter rettes opp.

Når en virksomhet samler inn personopplysninger, må det også etableres et internkontrollsystem med rutiner som viser hvordan kravene i personopplysningsloven etterleves. Avvik skal meldes inn til Datatilsynet.

Gradert eller sensitiv informasjon skal slettes

Den behandlingsansvarlige skal ikke lagre informasjon lenger enn det som er strengt nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke skal oppbevares videre, i henhold til arkivloven eller annen lovgivning, skal de slettes. Både sikkerhetsloven, beskyttelsesinstruksen og personopplysningsloven stiller krav til sikker sletting av gradert eller sensitiv informasjon.

Personopplysningsloven med tilhørende forskrifter stiller ingen krav til hvordan en virksomhet sletter og destruerer personopplysninger. Hvis det derimot dreier seg om sikkerhetsgradert informasjon, er det klare regler for hvordan sikkerhetsmakulering skal utføres. Dette er hjemlet i sikkerhetsloven. Lov og forskrift forvaltes av Nasjonal sikkerhetsmyndighet (NSM), og du finner dem på Lovdata.

Finn ut mer om sikker sletting av bedriftens data

Sikker makulering krever mer enn en makuleringsmaskin

Mange større bedrifter har fortsatt en fragmentert tilnærming til å kvitte seg med sensitive data og personopplysninger:

• Dokumenter kastes i vanlige papircontainere eller makuleres sporadisk
• PC-er, servere og mobiler gjenbrukes eller kastes uten fullstendig datasletting
• Utrangerte tekstiler, adgangskort og annet sensitivt materiale havner på feil steder

En makuleringsbeholder bør være selvsagt inventar i enhver virksomhet som håndterer dokumenter med personopplysninger. Likevel bør du være obs på at destruksjonsmetoden for makulering av informasjon varierer med hvilken type lagringsmedium som skal makuleres.

I tillegg gjelder det å etablere rutiner for hvordan de forskjellige lagringsmediene skal destrueres og påse at alle ansatte er kjent med rutiner for:

• oppbevaring og håndtering 
• sletting av informasjon 
• sletting av digital lagring 
• hvordan dokumenter, skjemaer og notater skal kastes
• hvordan pc-er og telefoner skal avhendes
• kontroll på materiale hele veien frem til destruksjon

Husk at det ikke er tilstrekkelig å tømme harddisken før du kvitter deg med PC-en eller telefonen. Du må sørge for sikker og bærekraftig sletting av data.

Ansvarlig datasletting og makulering er ikke bare en teknisk oppgave – det er en strategisk beslutning som beskytter bedriften din. NG Secure bidrar med helhetlige løsninger som sikrer full sporbarhet, lovlig håndtering og bærekraftig gjenvinning.