De aller fleste av oss tar det for gitt at sykehus og helseforetak har full kontroll på sensitiv informasjon og at de har gode rutiner som fungerer, slik at personlige opplysninger ikke havner på avveie. Men hvor gode er egentlig helsevesenet på dette området generelt?

Det er snart et og et halvt år siden GDPR ble en del av den norske personopplysningsloven. Før det skjedde, var det nok mange som lurte på hva som ville bli konsekvensene av de nye reglene for personvern. 2019 har vist oss noe av det. Det har vært mange klager på brudd på bestemmelsene og mange GDPR-kontroller både her hjemme og i andre land. Det har blant annet ført til flere millionbøter. Vi må være forberedt på at EUs personvernforordning vil prege det nye året også. Da kan det være greit å ha noenlunde oversikt over hva som er personopplysninger og andre sensitive data. Har din virksomhet det?

Hvordan behandler din bedrift PCer, laptopper, nettbrett og mobiltelefoner som ansatte bruker både i jobb og privat? Hva skjer når de slutter? Må de levere dem tilbake? Slettes innholdet? Hvis bedriften gir tilskudd til kjøp av mobiltelefon eller nettbrett for at ansatte skal bruke dem også i jobb, hva skjer med dem når de slutter? Blir innholdet slettet? Eller hva skjer når ansatte bytter utstyr? Slettes innhold på det gamle? Digitale lagringsmedier som ikke er i bruk, representerer en risiko for at personopplysninger og andre sensitive data kommer på avveie. Sikker makulering  kan redusere risikoen. 

Den digitale utviklingen har i tillegg til nye muligheter som kjent medført omfattende datakriminalitet. Dessverre har vi nok visst for lite både om truslene det representerer, hvordan vi kan bekjempe dem og hvordan vi kan skape en tryggere digital hverdag. Lett er det ikke å løse disse problemene, men på noen områder fins det løsninger som er enklere å iverksette enn andre. Blant annet gjelder det sletting av sensitive data. Slik sletting er en viktig del av datasikkerheten.

Skal bedriften flytte, eller skal du bytte kontor? I begge tilfeller kan det lett skje at sensitiv informasjon kommer på avveie. Derfor kan det være lurt å planlegge et opplegg for sortering og sikker makulering som en del av flytteprosessen. Dokumenter på avveie kan både føre til bøter og omdømmetap. I denne bloggen finner du noen tips jeg håper kan være nyttige ved flyttingen.

Hvor ofte har du selv glemt igjen eller funnet dokumenter andre har lagt fra seg ved kopimaskiner eller printere i virksomheten din? Har disse inneholdt personopplysninger eller andre sensitive data? I så fall kan det være en fare for at uvedkommende får tilgang til informasjon de ikke burde,  og  som de kan misbruke. 

Med nytt høyt bøtenivå etter at EUs personvernforordning (GDPR) ble en del av personopplysningsloven, er det viktig å hindre at personopplysninger kommer på avveie. Derfor  kan det være lurt å gå gjennom de rutinene dere har for sletting av sensitive dokumenter og spørre dere selv om de er effektive og sikre nok. Vær klar over at effektiv og sikker makulering dreier seg om mer enn å velge makuleringsmaskin.

Et av de spørsmålene vi av og til får, er om det kan være nødvendig å makulere dokumenter som inneholder navn og telefonnumre. Da vises det til at det er tilgjengelige opplysninger i telefonkataloger og andre steder. Slik spørsmålet stilles, virker kanskje det opplagte svaret at makulering ikke er nødvendig. Tilsynelatende kan det gjøre liten skade om dokument med telefonnumre kommer på avveie. Problemet oppstår hvis uvedkommende finner flere personopplysninger og kan sette dem sammen. Da får de fort et redskap for eksempel til ID-tyveri. Dessuten tror jeg telefonnumre sjelden er de eneste identifikasjonsopplysningene i et dokument.

Et helt sentralt krav i den nye personopplysningsloven hvor EUs personvernforordning (GDPR) inngår, er å lage rutiner som hindrer at personopplysninger kommer på avveie og blir misbrukt. Oppfyller dere ikke dette kravet, kan resultatet bli store bøter. Velger du en makuleringsbeholder når sensitive dokumenter skal slettes, kan bøter unngås. Men da bør den helst være plombert. Åpne beholdere gir lavere sikkerhet og dermed større risiko for brudd på personvernet.

Forhåpentligvis er du blant dem som har fått et internt regelverk på plass for å følge bestemmelsene i den nye personopplysningsloven hvor EUs personvernforordning (GDPR) er innlemmet. I den daglige virksomheten vil du få en test på hvor godt dette regelverket er. Du må være forberedt på at det kan oppstå avvik. Slike avvik må meldes til datatilsynet straks de skjer.