Datasletning 101:

GDPR og datasletning

GDPR og datasletning

Verdens strammeste regler for datasikkerhed har fornyligt trådt i kræft. De nye GDPR-regler (persondataforordningen) skal beskytte alle EU-borgeres fra brud på deres datasikkerhed. Enhver organisation, som indsamler og behandler data fra folk i EU, skal stå til ansvar for GDPR. Reglerne truer med høje bøder, uanset om organisationen er baseret i et EU-land eller ej. Det er nu tid til at sikre, at jeres praksis for udskiftning af IT følger de nye regler.

Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. De skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt for formålet. De skal desuden behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger. Derudover har registrerede i mange tilfælde en ret til sletning. Brud på disse nye regler kan resultere i bøder på helt op til 20.000.000 euro.

Hvad er der sket med GDPR?

De seneste ændringer, som trådte i kraft 25. maj 2018, har gjort reglerne langt mere omfattende – både i forhold til hvilke data, der skal beskyttes, og hvem der har ansvaret for at beskytte dem. Beskyttet data er udvidet til nu at inkludere alt lige det fra det åbenlyse som navne og finansiel data til ting som billeder og IP-adresser. Der er kort sagt tale om al form for data, der kan bruges til direkte eller indirekte at identificere en person.

Selvom disse regulativer er sat i verden for at beskytte EU-borgeres privatliv, er det faktisk mere omfattende end som så. GDPR gælder for enhver organisation, der opbevarer eller behandler persondata fra EU-borgere, uanset hvor organisationen er, eller hvor deres data blev indsamlet. Det er f.eks. estimeret, at mere end 90% af alle amerikanske virksomheder bliver påvirket af de nye GDPR-regler.

Husk datasikkerhed ved udskiftning af IT

Nu hvor GDPR er fuldt i gang, så skal man overveje, om man får udskiftet gammelt IT på en forsvarlig måde. Det er et stadie, som ofte bliver overset. Hvad sker der med jeres lagringsenheder, når de ikke længere skal bruges? Det har været en bekymring for finansielle institutioner og sygehuse i længere tid, men det er nu vigtigt for enhver virksomhed og offentlig organisation, som behandler persondata på folk fra EU.

Enhver organisation, som behandler personfølsomt data, står på et tidspunkt med IT-hardware som datacenter-diske eller medarbejdercomputere, der skal udskiftes. Her er det ikke nok at trykke på sletknappen med en formatering, og det er heller ikke nok at smide det til skrot. Selv et forsøg på at destruere udstyret er i mange tilfælde ikke nok, da metalstykker stadig kan indeholde data, som kan genskabes. Gratisløsninger for datasletning kan ligeledes ikke garantere, at det ikke kan genskabes. Når det gælder de planlagte tilsyn, havde Datatilsynet i 2019 valgt at fokusere på følgende temaer:

• Brud på persondatasikkerheden hos offentlige myndigheder og private virksomheder
• Databeskyttelsesrådgiverfunktionen hos kommunerne
• Brug (og genbrug) af data i den kommunale forvaltning
• Aggregering og sammenstilling af data til brug for videresalg hos private virksomheder
• Databehandlere, behandlingssikkerhed og brug af underdatabehandlere
• Databeskyttelse i forbindelse med ansættelsesforhold og sletning
• Sletning af oplysninger indsamlet i forbindelse med rekruttering
• Kontrolforanstaltninger i forhold til medarbejdere – opfylder arbejdsgiver oplysningspligten?

Når en computer eller anden lagringsenhed er udtjent, så er man nødt til at være opmærksom på, hvilke data der ligger tilbage på enheden. At sælge udstyret videre eller smide det til skrot uden videre tanke på den data repræsenterer en sikkerhedsrisiko og er et brud på de nye regler.

Slet jeres data og fjern risikoen

Inden I smider udstyret til skrot, videresælger det eller donere det væk, er det en bedste praksis at fjerne al data fra enhederne. Når man fjerner al data, fjerner man risikoen for, at den følsomme data ender i de forkerte hænder. Sletning af filer – eller endda formattering – garanterer ikke, at jeres data virkelig er væk. Ofte kan data genskabes med gratis online værktøjer. Ved at bruge WipeDrive til sikkert at dataslette udstyret, fjerner man enhver risiko for, at nogen kan genskabe dets data – selv med de absolut mest avancerede metoder. WipeDrive kan desuden bruges der, hvor udstyret står, så det ikke skal rundt i mange forskellige hænder.

Hvad koster brud på reglerne?

GDPR har udpenslet to niveauer af bøder afhængigt af, hvor alvorligt et brud, der er tale om. Alligevel har begge niveauer enormt høje begrænsninger. På det højeste niveau kan en bøde nå så højt som €20 millioner eller 4% af global omsætning (hvad end der er højest). Selv det lavere niveau er halvdelen af dette. Det er stadig uklart, hvor aggressivt disse typer bøder vil blive givet, men to bøder er allerede givet i Danmark. Det, som står klart, er, at datasikkerhed bør være en top-prioritet for enhver virksomhed, som behandler brugerdata fra EU.

Hvordan kan WipeDrive hjælpe?

Lad ikke datasikkerhed ved udskiftning af IT slippe gennem revnerne. Lav en sikker datasletning, når udstyret skal skifte hænder, og spar potentielt millioner af kroner. WipeDrive kan hurtigt og effektivt rense et drev, før det forlader jeres lager. WipeDrive er certificeret af alle de største regulativer (NIAP, Common Criteria, ADISA, NCSC og flere) og har beviseligt garanti for, at data ikke kan genskabes.

WipeDrives fleksible rapportering gør det muligt for jer at generere og opbevare dokumentation for ethvert wipe, så det altid kan vises til Datatilsynet. Man kan desuden enten dataslette én af gangen eller tage hundredevis af drev på én gang. Vi kan finde lige den løsning, I har brug.

Hent WipeDrive PDF

Certificeret Datasletning

WhiteCanyon Software

WipeDrive sikker datasletning