EU:s dataskyddsreform ur ett raderingsperspektiv

Att som företag ha koll på radering av data är viktigare än någonsin nu när den nya EU- förordningen är på väg att implementeras. När den börjar gälla 2018 så kommer det att krävas att företag, organisationer och myndigheter som hanterar EU-medborgarnas uppgifter tar bort personlig information på begäran eller när uppgifterna inte längre används. Det positiva med det nya regelverket är att om man har verksamhet i flera EU-länder så kommer samma regelverk gälla i hela Europa.

Vårt moderbolag, Kroll Ontrack, har genomfört en undersökning som konstaterat att 57 procent av 660 europeiska IT chefer tror att de kommer att påverkas direkt av denna nya EU-lagstiftning. Tre av fem (61 %) IT-chefer medger att de inte rutiner på plats för som krävs för den ny lagstiftningen. Mer än hälften (55 %) har heller inte kartlagt vilken avyttringspolicy de ska ha i sin verksamhet.

Med andra ord finns det stor förbättringspotential. Allt tyder på att det blir striktare regler med den nya EU-förordningen och uppfyller man idag PUL på alla punkter så har man så har man tagit det första steget att kunna uppfylla de nya reglerna.

PUL gäller fortsatt i två år

Som vi nämnde i förra blogginlägget gäller PUL fortfarande i två år fram till 2018 när den nya EU-lagstiftningen träder i kraft. Fram till dess så är det viktigt ur ett svenskt perspektiv att ha koll på de viktigaste delarna i PUL kring ett raderingsperspektiv.

Datainspektionen skriver på sin hemsida:

Att förstöra personuppgifterna innebär att se till att de inte går att återskapa. Det är viktigt att känna till vad som krävs rent tekniskt för att uppgifterna verkligen ska förstöras. Det är till exempel inte tillräckligt att radera den fil som innehåller personuppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns “papperskorg”. I stället krävs säker omformatering av lagringsmediet eller total överskrivning så att personuppgifterna inte kan tolkas i efterhand. Det är dock inte heller säkert att vanlig formatering raderar alla uppgifter utan det kan krävas särskild utrustning eller specialprogramvaror. Hur långtgående tekniska åtgärder som bör vidtas är bland annat beroende av informationens känslighet.

Personuppgiftslagen (PUL) kräver alltså att personuppgifter raderas på ett sådant sätt som gör dem omöjliga att återskapa då de inte längre behövs. Men många företag inser numera att det inte räcker att radera informationen eller formatera om hårddisken. Informationen finns kvar och det är förhållandevis enkelt att ladda ner ett program på nätet och återställa de flesta raderade filerna. Att fysiskt förstöra hårddisken med hjälp av en borr, hammare eller slägga minskar möjligheterna för en återställning, men Ibas har många gånger bevisat att det är möjligt att återställa data från hårddiskar som har krossats, blivit brännskadade eller till synes varit helt ur funktion. Det finns dessutom andra problem med att fysiskt att förstöra ett minne som vi förklarar i denna bloggpost.

Metoder och processer för att radera data

För att skydda ett företags mest känsliga elektroniska information behövs först och främst en policy för dataradering som även inkluderar mobila enheter. Och för det andra man ska tänka på att uteslutande använda certifierade programvaror som garanterar att all data är fysiskt överskriven och därmed raderad för att inte hamnar i fel händer när gammal IT-utrustning kasseras eller säljs vidare. Alternativt kan man använda en Degausser som effektivt raderar data på ett lagringsmedium med ett starkt magnetfält. För det tredje behöver man skapa en process för att hantera radering effektivt och som sträcker sig utöver traditionella hårddiskar och bandarkiv.

Bild: www.norsis.no