gdpr

GDPR vs norske myndigheter

Datasletting er tema i de fleste selskaper når de nye europeiske personvernreglene nå banker på døren. Det er også på tide. Det er all grunn til å spørre seg om ikke norske myndigheter i alle år har sviktet personvernet.

Når GDPR-temaet nå har vært på dagsorden i de fleste styrerom, er det sannsynligvis trusselen om de skyhøye bøtene som har drevet frem forandringene. Problemstillingen har vært reelt i flere tiår.

Ibas har tatt et samfunnsansvar i 14 år

For 19 år siden begynte Ibas å selge sletteløsninger vi selv hadde benyttet for å slette rekonstruerte data fra disker. For 14 år siden laget vi vår andre degausser og tok et aktivt samfunnsansvar når vi begynte å snakke om risikoen ved at sensitive data i norske virksomheter kunne komme på avveie.

FYI: En degausser er en kraftig elektromagnet som benyttes til å slette harddisker og backup-taper 100 %

 

Vi ble inviterte til et møte med daværende justisminister Odd Einar Dørum rundt funnene i en undersøkelse blant 200 it-sjefer i store norske virksomhet:

Dagens degausserversjon ble lansert i 2009 og vi spurte 156 norske kommuner om hvordan de slettet data.

I januar 2011 ble vi invitert til møte Rigmor Åserud, IT-minister i datidens regjerningen. Tema var behovet for en sikkerhetsforskrift som påla offentlige forvaltning sletterutiner der det kunne dokumenteres at sensitive data var permanent slettet før det avhending.

I 2015 utførte YouGov på vegne av Elkjøp en stor undersøkelse der 70 % av de spurte svarte at de var opptatt av at personlig data ikke kom på avveie når de skiftet ut sine gamle mobiler og nettbrett. Dessverre oppga bare 11 % at de sørget for at denne informasjonen virkelig ble slettet på sin gamle enhet.

Samme år kjøpte vi inn hundrevis av brukte harddisker fra ebay og vi fant data på 48 % av mediene.

 

Problemet

Problemet har i alle år handlet om at verken Datatilsynet eller Difi har stilt krav om bruk av spesielle metoder for sletting. Det har vært opp til hver enkelt å velge metode basert på sin egen risikovurdering.

Sikkerhetsbestemmelsene i vår tids personopplysningsforskrift § 2-11 definerer at personopplysninger ved avhending av lagringsmedia skal slettes fullstendig og permanent fra lagringsmediet, slik at det ikke er mulig, selv ved bruk av tekniske hjelpemidler, å gjenopprette tilgang til opplysningene.

Forskriften har ikke definert hvordan data skal slettes, og Ibas har i alle år opplevd at dette har åpnet for usikre metoder da mange IT-ansvarlige manglet bevissthet og kunnskap om hvor enkelt det er å hente frem lagret informasjon på lagringsmedier.

Vi har påpekt at det har vært behov for en sikkerhetsforskrift som pålegger offentlige forvaltning og norske virksomheter sletterutiner der det kan dokumenteres at sensitive data er permanent slettet før det avhendes.

Personvernet kommer med GDPR

Men 25. mai skal vi være klare til å bevise at vi kan slette data, 100 % riktig og permanent. Artikkel 19 definerer at vi må vite hvor data er lagret hvis vi blir bedt om at persondata skal slettes. Mange har nå brukt den forberedende fasen på å få kontroll eller å få gjort en revisjon for å få definert hvilke data som ikke er relevant for virksomheten, som ikke har et spesifikk betydning eller er relatert til personer under 16 år.

Hvordan sletter du?

Det finnes mange programvarer som sletter data slik at de kan gjenbrukes, selges eller kildesorteres. Og det finnes verktøy som sletter spesifikke filer og foldere. Du finner også mer destruktive løsninger, som eksempelvis degausserer, som er spesielt velegnet der mediene du skal slette er defekte, eller spesielt for tape/backupmedier.

Når oppryddingen vel er i gang må du ikke glemme eventuelle virtuelle systemer og disker. Spesielt hvis du har tredjepartsløsninger for hosting. Her benyttes virtuell infrastruktur for å partisjonere data for en rekke kunder for å oppnå økonomisk skalering. I slike miljøer kan det være en utfordring å identifisere og slette forespurte data mens andre data skal være intakte.

Risikoen ved fysiske harddisker

Mange virksomhet forsøker å gjenbruke disker for å dempe kostnadene ved økende datamengder. Utfordringen med en slik praksis er å vite at gamle data er permanent slettet før de tas i bruk på nytt.

Hva blir effekten av GDPR?

De største forandringer vil komme når privat og offentlig sektor skal dokumentere for brukeren at data er slettet 100 % sikkert i forhold til det nye regelverket. De må være villige til å minimere prosessering og unødvendig langtidslagring. Mange virksomheter har sett at de kan bruke det de har lært om GDPR for å kunne klare å kontrollere det som har vært en galopperende økning i data som ikke er relevant å lagre over lang tid.

Det er vårt håp at de profesjonelle datasikkerhetsaktørene som nå har levd godt at GDPR-innføringen faktisk har påvirket de daglige og praktiske rutinene i offentlig og privat sektor slik at de selv kan sikre en mer pålitelig håndtering av våre mest sensitive persondata.

Det blir spennende når vi eller andre på nytt tar temperaturen på hvor gode disse rutinene er i praksis.

Bilde: Zac Ong via Unsplash

Klikk på knappen for å
abonnere på nye artikler
rett i Messenger.