Contact us: +47 35 68 88 99
Norsk
Tilbake til bloggen
6 min read

Sikker destruksjon av data

Arooj Anwar
By: Arooj Anwar GDPR | 20 januar

Kundene og medarbeiderne dine betror deg dataene sine, men gjør du nok for å beskytte dem? Når du har samlet inn dataene du trenger, behandlet dem og ikke lenger har bruk for dem, hvor havner de da? Tanken på å revurdere din nåværende praksis for datadestruksjon kan virke som en overveldende oppgave. I dette blogginnlegget snakker jeg om viktigheten av sikker datadestruksjon, hvilke metoder som finnes, og gir deg en trinnvis veiledning i hvordan du utarbeider en policy for datadestruksjon for organisasjonen din.

Hva er datadestruksjon?

Datadestruksjon er prosessen med å destruere data som er lagret på bærbare datamaskiner, telefoner, harddisker og andre elektroniske enheter. Hensikten med sikker datadestruksjon er at dataene er helt uleselige når de er destruert, og at uvedkommende ikke kan få tilgang til dem. Definisjonen gjør det klart at når vi snakker om datadestruksjon, refererer vi ikke bare til den fysiske destruksjonen av data, som er prosessen med å mate enheter inn i en stor mekanisk makuleringsmaskin, men også elektroniske data som er lagret på enheter.

Hvorfor er datadestruksjon viktig?

Sletting av gamle data er ikke bare praktisk for organisasjoner, men også en juridisk forpliktelse. Etter en viss tid må de fleste data slettes permanent fra datamaskiner og systemer for å overholde prinsippene i GDPR. Vi er svært avhengige av data på grunn av deres effektivitet i forretningslivet, men som med alt annet finnes det også ulemper ved dette. Økte mengder digitaliserte data skaper risiko for datainnbrudd, ettersom sensitive data er under konstant trussel fra cyberkriminelle.

Det er også en moralsk forpliktelse å behandle data på en ansvarlig og bærekraftig måte, og ved å vise ansatte, kunder og samarbeidspartnere at dere verdsetter personvernet deres, kan dere skape sterkere relasjoner.

Retningslinjer for datadestruksjon og datainnbrudd

Å ha retningslinjer for datadestruksjon kan redusere risikoen for datainnbrudd. Retningslinjer for datadestruksjon bidrar til å sikre at data destrueres i henhold til GDPR, og dette reduserer sannsynligheten for datainnbrudd og sparer deg for mye trøbbel i ettertid.

Håndtering av sensitive data

Sensitive data er konfidensiell informasjon som skal håndteres i samsvar med personvernforordningen. I vår daglige virksomhet håndterer vi ofte data av svært sensitiv karakter, avhengig av hva vi jobber med, for eksempel økonomiske opplysninger, personlige opplysninger om ansatte, medisinsk informasjon osv. Hvis uvedkommende får tilgang til sensitive data, kan det få alvorlige konsekvenser, ikke bare på bedriftsnivå, men også på individnivå.

Tips for sikker datahåndtering:

  • Dobbeltsjekk mottakerne når du sender sensitive data

  • Vær på vakt mot phishing-angrep

  • Sørg for at alle bærbare og personlige enheter som inneholder sensitive data, er passordbeskyttet

  • Når du starter et prosjekt, må du sørge for å ha en plan for rettidig sletting av personopplysninger

  • Sørg for at du bare samler inn de opplysningene som er nødvendige, slik at du også overholder GDPR-reglene om dataminimering

  • Sørg for at tilgangen til enheter som lagrer sensitive data, administreres på en ansvarlig måte og gjennomgås regelmessig

GDPR og datadestruksjon

La oss snakke om GDPR og de juridiske aspektene rundt datadestruksjon. GDPR forteller oss ikke nøyaktig hvilken type datadestruksjonsmetode bedrifter bør bruke, men viktigheten av sikker datadestruksjon er nevnt i GDPR. GDPR klassifiserer datadestruksjon som en form for databehandling, og bedrifter må derfor overholde de samme reglene når de destruerer data som når de behandler dem.

Selv om det ikke finnes noen eksakte krav, har flere store selskaper blitt bøtelagt for brudd på GDPR. For å unngå å gjøre de samme feilene anbefaler vi at du setter deg inn i det vi vet om dette GDPR-prinsippet.

Regler fastsatt av GDPR:

  1. Bedrifter må implementere de riktige kontrollene og gi dataeiere fulle rettigheter over dataene sine, inkludert retten til å få data slettet.

  2. Gamle data må slettes på en sikker måte og uten mulighet til å hente dem frem igjen senere.

  3. Bedrifter må avhende all fysisk maskinvare som kan ha data lagret på seg, ikke bare digitaliserte data, på en hensiktsmessig måte.

Metoder for datadestruksjon

Det finnes flere ulike metoder du kan bruke for å destruere data , men ingen avdem erperfekte, og loverikke fullstendig suksess. Hvis du kjenner til forskjellen mellom dem, kan du velge den som passer best for deg.

Makulering - fysisk ødeleggelse av elektronikk

Sletting er en datadestruksjonsmetode som brukes for å kvitte seg med data på en effektiv måte. Den er ideell når du ikke ønsker å ødelegge enheter. Den fungerer ved å overskrive harddisker slik at den neste som bruker enheten, ikke får tilgang til tidligere lagrede data. Sletting er en ideell metode for bærbare datamaskiner, telefoner og USB-stasjoner. Det er kostnadseffektivt og sikkert.

Sletting - overskriving av harddisker

Sletting er en datadestruksjonsmetode som brukes for å kvitte seg med data på en effektiv måte. Den er ideell når du ikke ønsker å ødelegge enheter. Den fungerer ved å overskrive harddisker slik at den neste personen som bruker enheten, ikke får tilgang til tidligere lagrede data. Sletting er en ideell metode for bærbare datamaskiner, telefoner og USB-stasjoner. Det er kostnadseffektivt og sikkert.

Degaussing - ødeleggelse av magnetfeltet på enheter

Degaussing gjøres ved å ødelegge magnetfeltet på en lagringsenhet. Når magnetfeltet er ødelagt, ødelegges også selve dataene. Denne metoden er ideell for å ødelegge sensitive data, ettersom den sørger for at dataene ikke kan gjenopprettes. Ulempen med denne metoden er at enheten ikke lenger kan brukes når magnetfeltet er ødelagt.

Overskriving - bruk av programvare for å kryptere data

Overskriving er en vanlig metode for organisasjoner som ønsker å kvitte seg med data samtidig som de fortsatt kan gjenbruke enheter. Denne metoden bruker programvareverktøy til å kryptere dataene på enhetene, slik at de blir vanskelige å dekode eller gjenopprette. Dette gjøres ved å plassere uleselige tegn over dataene. For avanserte lagringsenheter kan det hende at overskriving ikke gir god nok sikkerhet. Denne metoden for datadestruksjon er billig og enkel å bruke, men den kan i noen tilfeller være tidkrevende og upålitelig.

New call-to-action

Outsourcing av datadestruksjon

Før jeg går nærmere inn på hvordan du kan lage en policy for datadestruksjon for bedriften din. vil jeg kort diskutere muligheten for å outsource datadestruksjon internt i organisasjonen. Som en stor organisasjon kan du velge å samarbeide med et datadestrueringsselskap som vil gjøre alt arbeidet for deg.

Ting du bør huske på når du outsourcer datadestruksjon:

  • Sørg for at selskapet du velger å samarbeide med, kan fremlegge et sertifikat som viser at dataene er destruert. Sertifikatet bør omfatte typen data som er destruert, datakilden og metoden som er brukt.

  • Finn ut om selskapet er GDPR-kompetent. Det kan være lurt å spørre om prosessene deres og hvordan de ansatte er opplært til å oppfylle GDPR-standardene.

  • Forsikre deg om at selskapet er forsikret. Hvis de ikke er det, kan det være en indikator på at de ikke er villige til å ta ansvar i tilfelle brudd på personvernreglene.

Hvis du etter å ha undersøkt selskapet og fortsatt er bekymret for at sensitive data skal havne i gale hender, er det best å destruere dataene internt i organisasjonen, da dette gir minst risiko for datainnbrudd.

Hva er formålet med en policy for datadestruksjon?

Bedrifter samler inn, behandler og lagrer data i stadig økende tempo og ser ikke noe stort poeng i å kvitte seg med gamle data, ettersom det er enkelt å kjøpe mer lagringsplass. De fleste bedrifter har ikke behov for, og i mange tilfeller ikke lov til, å oppbevare gamle data. Derfor er det viktig å ha prosesser på plass for å veilede de ansatte i datadestruksjon, og med en policy for datadestruksjon kan du gjøre dette på en effektiv måte.

Sikker datadestruksjon for små organisasjoner

Mindre bedrifter tror kanskje at de ikke er store nok til å tiltrekke seg cyberkriminelle. Uansett størrelse samler alle bedrifter inn og lagrer data, og det er alt som trengs for at cyberkriminelle skal kunne begå identitetstyveri og annen kriminalitet. En mindre organisasjon kan velge å ikke utarbeide retningslinjer for datadestruksjon, men de kan likevel skape en sterk sikkerhetskultur som oppmuntrer til bevissthet og god praksis. GDPR oppfordrer selskaper til å ha retningslinjer for datadestruksjon, men du vil ikke bli bøtelagt for å ikke ha slike retningslinjer.

Noen viktige ting å huske på når du utarbeider retningslinjer for datadestruksjon

  • Sørg for at bedriften overholder alle bransjeregler, statlige og føderale regler.

  • Sjekk at du kjenner til kontraktene dine med andre selskaper og deres dataspesifikasjoner når det gjelder datadestruksjon.

  • Sørg for at du overholder reglene i personvernforordningen om hvor lenge du må oppbevare dataene, og hvordan de skal destrueres.

Hvordan lage en policy for datadestruksjon?

Nå som vi har snakket om viktigheten av sikker datadestruksjon, metodene og de potensielle risikoene knyttet til datainnbrudd, lurer du sikkert på hvordan du kan lage en policy for datadestruksjon for bedriften din. Som lovet har jeg laget en trinnvis veiledning som du kan følge, og som vil gjøre prosessen mye enklere.

Hvor lagrer du bedriftsdataene dine?

Det viktigste først. Lag en liste over alle stedene og enhetene der data lagres på kontoret. Noen av de potensielle lagringsmetodene bedriften din kan bruke, er

  • Datamaskiner

  • Telefoner

  • USB-stasjoner

  • Harddisker

  • Papirskjemaer og filer som inneholder forretningsinformasjon

  • Digitale kameraer

  • Talemeldinger

  • Harddisker på skrivere og kopimaskiner

Hvem har tilgang til dataene dine?

Deretter bør du lage en liste over data eller enheter som forretningsforbindelser har tilgang til. Dette kan være leverandører, selgere eller interessenter.

Hvor lagrer du bedriftsdataene dine?

Nå er det på tide å svare på spørsmålene om hvem, hva, når, hvor og hvorfor. I denne delen må du bruke begge listene du har laget tidligere. Bruk disse listene til å svare på spørsmålene nedenfor:

  • Hvilken type enhet er det? (USB, minnepinne eller annet)

  • Hvor sensitive er dataene som er lagret på den? Er sensitivitetsnivået høyt, moderat eller lavt?

  • Hva slags data er lagret på den? Er det data om ansatte, økonomi eller kunder?

  • Hvordan skal vi destruere eller avhende dataene eller enheten?

  • Hvem er ansvarlig for å destruere dem?

  • Hvor ofte er vi pålagt å destruere den aktuelle typen data?

  • Hvordan skal vi verifisere at dataene er destruert og ikke kan gjenopprettes?

Skrive ned de endelige retningslinjene for datadestruksjon

Det siste trinnet i utarbeidelsen av en policy for datadestruksjon er å skrive den ned, og dette kan virke som det vanskeligste trinnet av dem alle. For å gjøre det litt enklere har jeg satt opp en liste med spørsmål som forhåpentligvis vil bidra til å skape en policy som er konsistent og dekker alle viktige elementer i sikker datadestruksjon.

  • Hvordan utfører vi makuleringsprosessen i vår bedrift? Har vi en fysisk makuleringsmaskin tilgjengelig på kontoret, eller bruker vi en tjeneste, og i så fall hvilken?

  • Hvordan slettes data fra de ulike elektroniske enhetene?

  • Hvilke ulike typer programvareverktøy bruker vi?

  • Hvordan destrueres enhetene slik at de ikke lenger kan brukes i fremtiden?

  • Hvem er ansvarlig for å slette data og destruere enheter, og hvor ofte gjøres dette?

  • Hvordan verifiserer vi at data er slettet på en sikker måte? For hvilken type data og når trenger vi verifisering? Hvem er ansvarlig for verifiseringen?

  • Hvem er ansvarlig for implementeringen av retningslinjene for datadestruksjon og for å sørge for at de ansatte forstår dem?

  • Hvem må overholde retningslinjene for datadestruksjon, og hva er de mulige konsekvensene ved brudd på disse?

Det vil kreve en del tid og arbeid å utarbeide en policy for datadestruksjon. Men når den først er på plass, vil du sove bedre når du vet at du har redusert risikoen for at bedriften din blir holdt juridisk ansvarlig for data- og sikkerhetsbrudd.

Sannheten er at du kanskje ikke nødvendigvis liker tanken på å måtte utarbeide en lang policy for datadestruksjon eller revurdere vanene dine når det gjelder datadestruksjon, men det endrer ikke det faktum at datainnbrudd er et reelt problem, og at du bør iverksette nødvendige tiltak for å forhindre dem.
Back to blog
Recent articles
GDPR Hvordan Sikre At Bedriften Din Er GDPR Compliant

Det er flere steg du må gjennomføre før selskapet ditt er GDPR compliant. Vi har laget en guide for de første stegene mot å bli GDPR compliant.

Anders Bryde Thornild 11 min read - By Anders Bryde Thornild
GDPR Personvernprinsippene: De sju prinsippene i GDPR

Hva er de sju personvernprinsippene? Vi forklarer dem for å vise deg hva GDPR betyr i praksis. Det gjør det lettere for deg å forstå og etterleve kravene i GDPR.

Ismail Özkan 8 min read - By Ismail Özkan
GDPR Hva Er Personopplysninger Ifølge GDPR?

Personopplysninger er all informasjon som kan på en eller annen måte føre til en person. Les mer om ulike typer persondata og GDPR.

Mikael Korsholm Poulsen 3 min read - By Mikael Korsholm Poulsen