Morten Rosted Vang
Chefkonsulent, datasikkerhed og GDPR, Dansk Industri Digital.
Virksomheders og offentlige institutioners IT-affald kan indeholde data og følsomme personoplysninger, som kræver professionel sletning, inden det sendes til genbrug. Ellers risikerer organisationen en millionbøde pga. brud på GDPR-lovgivningen. En almindelig formatering af lagringsenhederne er ikke nok, siger Morten Rosted Vang, chefkonsulent i Dansk Industri Digital.
I takt med IT-teknologiens hastige udvikling vælger mange virksomheder relativt jævnligt at udskifte dele af deres IT-udstyr og computerpark. Siden 25. maj 2018, hvor EU’s nye persondataforordning, GDPR, trådte i kraft, er reglerne om behandling af persondata og særligt følsomme persondata dog blevet skærpet. Det er derfor påtrængende vigtigt, at man som virksomhed overvejer, hvordan man skiller sig af med sit IT-affald, da det ellers kan udløse en bøde, som potentielt er i millionklassen.
”Det er vigtigt at få sine lagringsenheder slettet effektivt, så IT-udstyret kan afleveres forsvarligt på genbrugsstationen, uden at man bryder med GDPR. Man skal som virksomhed foretage en risikovurdering i forhold til, hvilke data, der er eller har været på it-udstyret, og i forhold til hvad der skal ske med IT-udstyret, når man skiller sig af med det,” siger Morten Rosted Vang, chefkonsulent inden for datasikkerhed hos Dansk Industri Digital.
Undgå store GDPR-bøder
Et alvorligt brud på GDPR-lovgivningen kan udløse en bøde på omkring 150 millioner kroner eller op til 4 procent af virksomhedens globale omsætning – afhængig af hvilket af de to beløb der er størst. Det er potentielt en stor trussel mod virksomhedens drift og overlevelse.
”Hvis virksomheders lagringsenheder med følsomme personoplysninger bliver smidt ud uden at have været igennem en effektiv sletningsproces, kan det kvalificere sig som et brud på GDPR, og altså noget, man skal tage alvorligt,” siger Morten Rosted Vang.
En almindelig sletning er ikke nok
IT-affald indeholder ofte data fra virksomhedens systemer, der både kan være følsomme personoplysninger og almindelige personoplysninger om ansatte, kunder med mere, men det kan også være kompromitterende oplysninger om virksomhedens interne anliggender, som man ikke ønsker falder i de forkerte hænder.
”Det er en udfordring at slette informationer på en lagringsenhed permanent, når man ikke ved hvordan. Selvom virksomhedens IT-ansatte har formateret lagringsenhederne, er det nemlig stadig muligt for IT-kyndige at genskabe informationerne og dermed få adgang til følsomme og kompromitterende oplysninger,” siger Morten Rosted Vang.
Professionel datahåndtering
Der findes firmaer i dag, som har specialiseret sig i at slette oplysninger på lagringsenheder på en permanent og sikker måde, så de ikke havner i de forkerte hænder.
”Det er firmaer, som tilbyder en certificeret, effektiv sletning bl.a. ved brug af afmagnetisering, så man som virksomhed får garanti på, at lagringsenhederne er helt tomme, og man har ryggen fri,” siger Morten Rosted Vang.
Hvis man selv ønsker at udføre en effektiv sletning, kræver det, at man bruger den helt rigtige software. I det tilfælde er det anbefalingen, at det er muligt for softwaren at genere et certifikat for fuld sletning. Under alle omstændigheder bør virksomheder have en fast politik for bortskaffelse af it-udstyr, så der ikke tvivl om håndteringen af IT-affald.