Tillbaka till bloggen
6 min read

Säker förstöring av data

Arooj Anwar
By: Arooj Anwar GDPR | 20 januari

Dina kunder och medarbetare anförtror dig sina uppgifter, men gör du tillräckligt för att skydda dem? Tänk på att när du har samlat in de uppgifter du behöver, bearbetat dem och inte längre behöver dem, var hamnar de då? Tanken på att omvärdera dina nuvarande metoder för datadestruktion kan verka som en överväldigande uppgift. I det här blogginlägget berättar jag om vikten av säker datadestruktion, vilka metoder som finns tillgängliga och ger dig en steg-för-steg-guide till hur du skapar en policy för datadestruktion för din organisation.

Vad är datadestruktion?

Datadestruktion är processen att förstöra data som lagras på bärbara datorer, telefoner, hårddiskar och andra elektroniska enheter. Syftet med säker datadestruktion är att data som förstörs är helt oläsliga och inte kan nås av någon obehörig person. Definitionen klargör att när vi talar om datadestruktion avser vi inte bara den fysiska förstörelsen av data, vilket är processen att mata in enheter i en stor mekanisk dokumentförstörare, utan även elektronisk data som lagras på enheter.

Varför är datadestruktion viktigt?

Att radera gamla data är inte bara bekvämt för organisationer utan också en lagstadgad skyldighet. Efter en viss tid måste de flesta uppgifter raderas permanent från datorer och system för att följa principerna i GDPR. Vi förlitar oss i hög grad på data eftersom det är så effektivt i affärsverksamheten, men som med allt annat finns det nackdelar med detta. Den ökade mängden digitaliserad data skapar risker för dataintrång eftersom känsliga uppgifter ständigt hotas av cyberbrottslingar.

Att behandla data på ett ansvarsfullt och hållbart sätt är också din moraliska skyldighet och att visa dina anställda, kunder och partners att du värdesätter deras integritet kan hjälpa dig att skapa starkare relationer.

Policyer för datadestruktion och dataintrång

Att ha en policy för datadestruktion kan minska risken för dataintrång. En policy för datadestruktion bidrar till att säkerställa att data förstörs i enlighet med GDPR, vilket minskar sannolikheten för dataintrång och besparar dig en hel del problem längre fram.

Hantering av känsliga uppgifter

Känsliga uppgifter är konfidentiell information som ska hanteras i enlighet med GDPR. I vår dagliga verksamhet hanterar vi ofta uppgifter av extremt känslig natur beroende på vårt arbetsområde, t.ex. finansiella uppgifter, personlig information om anställda, medicinsk information osv. Om en obehörig person får tillgång till känsliga uppgifter kan det leda till allvarliga konsekvenser, inte bara på företagsnivå utan även på individnivå.

Tips för säker datahantering:

  • Dubbelkolla mottagare när du skickar känsliga uppgifter

  • Var vaksam på phishing-attacker

  • Se till att alla bärbara och personliga enheter som innehåller känsliga uppgifter är lösenordsskyddade

  • När du startar ett projekt, se till att ha en plan för snabb radering av personuppgifter

  • Se till att bara samla in de uppgifter som behövs, på så sätt uppfyller du också GDPR's regel om uppgiftsminimering

  • Se till att åtkomst till enheter som lagrar känsliga uppgifter hanteras på ett ansvarsfullt sätt och granskas regelbundet

GDPR och datadestruktion

Låt oss prata om GDPR och de juridiska aspekterna kring datadestruktion. GDPR anger inte exakt vilken typ av metod för datadestruktion som företag ska använda, men vikten av säker datadestruktion nämns i GDPR. GDPR klassificerar datadestruktion som en form av databehandling, vilket innebär att företag måste följa samma regler när de förstör data som när de behandlar dem.

Även om det inte finns några exakta krav har flera stora företag dömts till böter för att ha brutit mot GDPR. För att undvika att göra samma misstag rekommenderar vi att du bekantar dig med vad vi vet om denna GDPR-princip.

Regler som fastställts av GDPR:

  1. Företag måste genomföra korrekta kontroller och ge dataägare fullständiga rättigheter över sina data, inklusive rätten att få data raderad.

  2. Gamla uppgifter måste raderas på ett säkert sätt och utan möjlighet att hämta dem senare.

  3. Företag måste på lämpligt sätt kassera all fysisk hårdvara som kan ha data lagrad på sig, inte bara digitaliserad data.

Metoder för att förstöra data

Det finns flera olika metoder som du kan använda för att förstöra data, men ingen avdem ärperfekt och utlovarinte fullständig framgång. Att känna till skillnaden mellan dem hjälper dig att välja den som passar dig bäst.

Shredding - fysisk förstöring av elektronik

Radering är en datadestruktionsmetod som används för att effektivt göra sig av med data. Den är idealisk när du inte vill förstöra enheter. Den fungerar genom att skriva över hårddiskar så att den person som använder enheten nästa gång inte kan komma åt tidigare lagrade data. Radering är en idealisk metod att använda för bärbara datorer, telefoner och USB-enheter. Det är kostnadseffektivt och säkert.

Radering - överskrivning av hårddiskar

Erasure är en datadestruktionsmetod som används för att effektivt göra sig av med data. Den är idealisk när du inte vill förstöra enheter. Den fungerar genom att skriva över hårddiskar så att den som använder enheten härnäst inte kan komma åt tidigare lagrade data. Radering är en idealisk metod att använda för bärbara datorer, telefoner och USB-enheter. Det är kostnadseffektivt och säkert.

Degaussing - förstör enheternas magnetfält

Degaussing görs genom att förstöra magnetfältet i en lagringsenhet. När magnetfältet förstörs, förstörs också själva datan. Denna metod är idealisk för att förstöra känsliga data eftersom den säkerställer att data är helt omöjliga att återskapa. Nackdelen med denna metod är att enheten inte längre kan användas när magnetfältet har förstörts.

Överskrivning - kryptering av data med hjälp av programvara

Överskrivning är en vanlig metod för organisationer som vill göra sig av med data samtidigt som de vill kunna återanvända enheterna. För denna metod används programvaruverktyg för att kryptera data på enheter, vilket gör det svårt att avkoda eller återställa. Detta görs genom att placera oläsliga tecken över datan. För avancerade lagringsenheter kan det hända att överskrivning inte ger tillräckligt hög säkerhet. Den här metoden för datadestruktion är billig och enkel att använda, men den kan vara tidskrävande och otillförlitlig i vissa fall.

Picture of the risk analysis template

Outsourcing av datadestruktion

Innan jag går in på hur du kan skapa en policy för datadestruktion för ditt företag. Jag skulle kort vilja diskutera möjligheten att lägga ut datadestruktionssidan av saker inom din organisation. Som en stor organisation kan du välja att arbeta med ett datadestruktionsföretag som gör allt arbete åt dig.

Saker att tänka på när du lägger ut datadestruktion på entreprenad:

  • Se till att det företag du väljer att arbeta med tillhandahåller ett saneringscertifikat som bevis på att data har förstörts. Certifikatet bör omfatta vilken typ av data som har förstörts, datakälla och vilken metod som har använts.

  • Ta reda på om företaget är GDPR-kompatibelt. För att göra detta kan du fråga om deras processer och hur deras anställda utbildas för att uppfylla GDPR-standarder.

  • Se till att företaget är försäkrat. Om de inte är det kan det vara en indikation på att de inte är beredda att ta ansvar vid en eventuell överträdelse.

Om du efter att ha undersökt företaget fortfarande är orolig för att känsliga uppgifter ska hamna i fel händer, är det bästa alternativet att förstöra uppgifterna inom organisationen, eftersom det innebär minst risk för dataintrång.

Vad är syftet med en policy för datadestruktion?

Företag samlar in, bearbetar och lagrar data i allt snabbare takt och ser ingen större mening med att göra sig av med gammal data eftersom det är lätt att köpa mer lagringsutrymme. De flesta företag behöver inte, och i många fall får de inte, behålla gamla data. Därför är det viktigt att ha processer på plats för att vägleda dina anställda om datadestruktion, och med en policy för datadestruktion kan du göra detta på ett effektivt sätt.

Säker datadestruktion för små organisationer

Mindre företag kanske tror att de inte är tillräckligt stora för att locka till sig cyberbrottslingar. Oavsett storlek samlar alla företag in och lagrar data, vilket är allt som behövs för att cyberbrottslingar ska kunna begå identitetsstöld och andra brott. En mindre organisation kanske väljer att inte ha en policy för datadestruktion, men de kan ändå skapa en stark säkerhetskultur som uppmuntrar till medvetenhet och god praxis. GDPR uppmuntrar företag att ha en policy för datadestruktion, men du kommer inte att bötfällas för att du inte har en sådan.

Några viktiga saker att tänka på när du tar fram en policy för datadestruktion

  • Se till att ditt företag följer alla branschregler, delstatsregler och federala regler.

  • Kontrollera att du känner till dina avtal med andra företag och deras dataspecifikationer avseende datadestruktion.

  • Se till att du följer reglerna i GDPR om hur länge du måste behålla uppgifterna och hur de ska förstöras.

Hur skapar man en policy för datadestruktion?

Nu när vi har talat om vikten av säker datadestruktion, metoderna och de potentiella riskerna i samband med dataintrång undrar du säkert hur du kan skapa en policy för datadestruktion för ditt företag. Som utlovat har jag gjort en steg-för-steg-guide som du kan följa och som kommer att göra processen mycket enklare.

Var lagrar du dina företagsdata?

Så, det viktigaste först. Gör en lista över alla platser och enheter där data lagras på ditt kontor. Några potentiella datalagringsmetoder som ditt företag kan använda är

  • Datorer

  • Telefoner

  • USB-enheter

  • Hårddiskar

  • Pappersformulär och filer som innehåller företagsinformation

  • Digitala kameror

  • Röstmeddelanden

  • Hårddiskar i skrivare och kopiatorer

Vem har tillgång till dina uppgifter?

Därefter bör du göra en lista över data eller enheter som affärspartner har tillgång till. Det kan vara dina leverantörer, säljare eller intressenter.

Var lagrar du företagets data?

Nu är det dags att besvara frågorna om vem, vad, när, var och varför. För detta avsnitt behöver du använda de båda listorna som du gjorde tidigare. Använd dessa listor för att besvara frågorna nedan:

  • Vilken typ av enhet är det? (USB, USB-minne eller annat)

  • Hur känsliga är de data som lagras på den? Är känslighetsnivån hög, måttlig eller låg?

  • Vilken typ av data lagras på den? Är det uppgifter om anställda, finansiella uppgifter eller kunduppgifter?

  • Hur är vi skyldiga att förstöra eller kassera uppgifterna eller enheten?

  • Vem är ansvarig för att förstöra den?

  • Hur ofta måste vi förstöra den aktuella typen av uppgifter?

  • Hur ska vi verifiera att uppgifterna är förstörda och inte kan återskapas?

Skriva den slutliga policyn för datadestruktion

Det sista steget i att skapa en policy för datadestruktion är att formellt skriva ner den, och det kan tyckas vara det svåraste steget av dem alla. För att göra det lite enklare har jag tagit fram en lista med frågor som förhoppningsvis kommer att bidra till att skapa en policy som är konsekvent och täcker alla viktiga delar av säker datadestruktion.

  • Hur genomför vi dokumentförstöringsprocessen i vårt företag? Har vi en fysisk dokumentförstörare tillgänglig på kontoret eller använder vi en tjänst och i så fall vilken?

  • Vilken process används för att radera data från varje typ av elektronisk enhet?

  • Vilka olika typer av mjukvaruverktyg använder vi oss av?

  • Hur förstörs enheter så att de inte längre är användbara i framtiden?

  • Vem är ansvarig för att radera data och förstöra enheter och hur ofta görs detta?

  • Hur kontrollerar vi att uppgifterna har raderats på ett säkert sätt? För vilken typ av data och när behöver vi verifiering? Vem är ansvarig för verifieringen?

  • Vem ansvarar för implementeringen av policyn för datadestruktion och för att se till att medarbetarna förstår den?

  • Vem måste följa policyn för datadestruktion och vilka är de möjliga konsekvenserna vid överträdelser?

Att skapa en policy för datadestruktion kräver en del tid och arbete. Men när den väl är på plats kommer du att sova bättre i vetskapen om att du avsevärt har minskat risken för att ditt företag ska hållas juridiskt ansvarigt för data- och säkerhetsöverträdelser.

Sanningen är att du kanske inte nödvändigtvis tycker om tanken på att behöva utarbeta en lång policy för datadestruktion eller ompröva dina vanor när det gäller datadestruktion, men det förändrar inte det faktum att dataintrång är ett verkligt problem och att du bör vidta nödvändiga åtgärder för att förhindra dem.
Back to blog