Innføringen av EUs personvernforordning i 2018 tvang organisasjoner til å ta en god titt på sletterutinene. EUs personvernforordning er mer enn bare "retten til å bli glemt". Den gjelder også for forebygging av datalekkasjer fra alle virksomheter som enten driver virksomhet i EU eller utenfra med et EU-selskap. Det ser imidlertid ut til å være mye forvirring når det gjelder rette sletterutiner, noe som gjør at organisasjoner forblir sårbare for datainnbrudd. I denne bloggen undersøker vi hvordan du kan sikre at virksomheten din overholder lover og regler ved sletting av data fra aktive datalagringsmiljøer.

 Artikkel 32

I artikkel 32 av EUs personvernforordning heter det at selskap må ha "innført en prosedyre for å opprettholde regelmessige gjennomganger og evalueringer av effektiviteten til tekniske og organisatoriske tiltak, for å sikre sikkerheten ved behandlingen av personopplysninger innenfor selskapet." Det å sikre at du har implementert riktig prosedyre, gjelder ikke bare for databehandling, men også for valget og anskaffelsesprosessene for IT-løsningene (både programvare og maskinvare) som er i bruk.

Hva burde ha blitt gjort?

IT-avdelingen på hvert selskap må ha utført alle nødvendige tiltak for å sikre at ingen personopplysninger kan lekke utenfor selskapet. Noen av trinnene som burde ha blitt utført i henhold til EUs personvernforordning, er:

• Pseudonymisering og kryptering av personopplysninger,
• muligheten til å sikre konfidensialitet, integritet, tilgjengelighet og feiltoleranse på systemene og tjenestene relatert til behandlingen permanent;
• muligheten til raskt å gjenopprette tilgjengeligheten og tilgangen til personopplysninger ved en fysisk eller teknisk hendelse;
• en prosess for periodisk gjennomgang og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre behandlingssikkerheten.

Et annet kritisk punkt som ble implementert i artikkel 32 var:

"Spesielt må risikoene forbundet med behandlingen – særlig ødeleggelse, tap eller endring, enten utilsiktet eller ulovlig eller uautorisert utlevering av eller uautorisert tilgang til personopplysninger som overføres, lagres eller på annen måte – tas i betraktning ved vurdering av passende beskyttelsesnivå."

Kort sagt krever artikkel 32 at organisasjoner tar hensyn til alle risikoer ved bruk av teknologi som inneholder personopplysninger. Før en organisasjon bruker medier for å oppbevare sensitive data, må en ansvarlig ansatt utføre en vurdering av databeskyttelsesinnvirkning for å fastslå eventuelle risikoer for enkeltpersoners datarettigheter.

Eventuelle datalekkasjer som oppstår i et selskap, må rapporteres innen 72 timer etter at lekkasjen fant sted. Hvis ikke, er bøtene høye og de samme som ved uautorisert bruk av personopplysninger: enten bøter på opptil € 20 millioner eller 4 % av den globale årlige omsetningen (avhengig av hva som er større).

Sikker datasletting er fremdeles et problem

To år etter implementeringen fortsetter noen bedrifter å overse eller glemme å slette eksisterende data fra stasjonære datamaskiner, bærbare datamaskiner, eksterne stasjoner, og tjenester. Dette skyldes ofte en misforståelse av riktige dataslettingsmetoder, og en mangel på tilgang til effektive verktøy som muliggjør sletting av data i deres aktive IT-miljøer. Mange organisasjoners sensitive data etterlates derfor i en svekket posisjon og blir sårbare for innbrudd.

For mange organisasjoner står datasletting fremdeles ikke øverst på IT-avdelingenes liste over sikkerhetsprioriteringer. Dette er ikke overraskende når malware og cyber crime har blitt en uheldig virkelighet i dagens digitalt="" tilkoblede verden. Som diskutert ovenfor gjør EUs personvernforordning det imidlertid til et lovkrav for organisasjoner å sikre at de har korrekt og sikker praksis for dataødeleggelse på plass.

Likevel mangler mange IT-avdelinger kunnskap og utdanning når det gjelder forskjellen mellom "sletting" og "permanent sletting". I en studie utført av Blancco – "Slette vs. #slette#": Slik sletter du filer i aktive miljøer ble det funnet at over halvparten (51 %) av de 400 respondentene trodde det å tømme papirkurven var nok til å fjerne dataene fra den stasjonære/bærbare datamaskinen permanent. Like bekymringsverdig er det at ytterligere 51 % vurderte å utføre en raskt formatering eller full omformatering av harddisikenfor å ødelegge dataene deres for godt.

Uten riktig kompetanse og kunnskap angående datasletting setter organisasjoner sine sensitive data i fare for potensielle datalekkasjer.

For å styrke organisasjonens datahygiene og forbedre dens samlede dataadministrering og dataslettepraksiser har vi satt sammen tipsene nedenfor for å hjelpe deg med sanering av data fra et aktivt lagringsmiljø.

1. Automatiser aktiv sikker sletting

Hver bruker skal utføre dette på papirkurven ved utlogging fra systemet. Ved å automatisere denne prosessen tar organisasjonen de nødvendige aktsomhetsskrittene for å bekrefte den permanente og sikre slettingen av data og filer. Hvis dette gjøres, reduseres usikkerhet eller risikoer knyttet til sletting av data på en sikker måte fra brukernes bærbare/stasjonære maskiner.

2. Lag en "shred free disk space" rutine

Hver bærbar og stasjonær datamaskin som eies og brukes av organisasjonen din, bør inkludere dette trinnet når det servicevinduer eller oppdateringer er planlagt. Ved å utføre dette vil du kontinuerlig målrette etterlatte applikasjonsdata (så vel som andre data) som ble slettet feilaktig eller ufullstendig av en bruker av systemet.

3. Fjern automatisk midlertidige filer

Automatisering av sletteprosessen vil sikre at den utføres jevnlig, og garanterer optimal sikkerhet. På denne måten kan du målrette brukerdata som kan ha bygget seg opp og forblitt i systemet, for eksempel nettleserbufferen, der sensitiv informasjon kan lagres.

4. Slett lokalt="" opprettede og lagrede brukerfiler

Hvis du konsekvent sletter lokalt="" produserte brukerfiler og oppmuntrer dine ansatte til å arkivere dataene sine i et sentralt="" repositorium, kan du forhindre et mulig datainnbrudd. Dette er en pågående datahåndteringskamp som lenge har irritert IT-team i mange organisasjoner.

5. Autoriser "toppbrukere" til å utføre aktiv sletting

En ofte oversett ressurs for IT-retningslinjene er valg og tildeling av en gruppe med "toppbrukere" i organisasjonen som er autorisert til å utføre aktiv sletting av filer fra systemet. De kan være medvirkende til selskapets sikkerhet, spesielt hvis enkeltpersoner lagrer sensitive data på feil plassering. "Toppbrukerne" bør målrette feilaktig lagrede data og slette dem permanent umiddelbart.

6. Få en fil med verifiseringsattest for å sikre forskriftssamsvar

Det å sikre at du har en attest og et revisjonsspor som beviser sikker og permanent sletting av data, betyr at organisasjonen kan vise at den overholder retningslinjer for og myndighetskrav til datalagring. Tjenester for sletteverifisering  kan hjelpe organisasjonen å verifisere dataslettingsstrategien.

Hvis du vil ha mer informasjon om sikker sletting av data fra selskapets miljø, kan du kontakte en av våre spesialister.