Ubehandlet data på udfaset IT-udstyr kan give millionbøder fra Datatilsynet
13 december 2019
Ping IT A/S
Thomas Kock, Business Unit & Compliance Manager
I en af de første konkrete bødeforlægssager fra Datatilsynet grundet manglende efterlevelse af regler i databeskyttelsesforordningen (GDPR), blev IDdesign A/S tidligere på året indstillet til en bøde på 1,5 mio kr. for manglende sletning af oplysninger om kunder på et ældre IT-system. Det kan imødegås med en tilpasset politik - og ikke mindst med den rette samarbejdspartner.
For flertallet af private og offentlige virksomheder ligger fokus i håndteringen af, og kontrollen med, IT-udstyr og -systemer ganske naturligt på de dele, som er i drift. Men med bødeforlægget fra Datatilsynet til møbelvirksomheden IDdesign A/S, for manglende sletning af personoplysninger om ca. 385.000 kunder, er kravet til virksomheders IT-driftsansvarlige og direktion med et slag ændret.
Implementeringen af forordningens krav og procedurer til måden hvorpå data og IT-udstyr håndteres, skal også inkludere det udfasede udstyr og data herpå. Det betyder tillæg til eksisterende politikker og procedurer, som konkret anviser hvordan data fra udfasede systemer skal behandles efter endt anvendelse.
Det er med andre ord ikke nok, blot at sætte IT-udstyret og datamedierne i kælderen, låse døren, og så eventuelt håndtere det ved senere lejlighed.
Det er med andre ord ikke nok, blot at sætte IT-udstyret og datamedierne i kælderen, låse døren, og så eventuelt håndtere det ved senere lejlighed.
Sådan undgår du bøder for ubehandlet data på udfaset IT-udstyr
Vil du sikre, at virksomheden undgår en lignende situation, magen til den IDdesign A/S utilsigtet befandt sig i, da Datatilsynet udførte deres tilsynsbesøg, så skal I implementere følgende i virksomheden:
Implementér en politik om, at alt IT-udstyr, som udfases fra driften, skal håndteres og dataslettes i umiddelbar forlængelse af, eller kort tid efter, dets udfasning. En placering i et låst kælderrum er ALDRIG den endelige løsning. Der SKAL foretages sletning af personfølsomme data – også selv om strømmen er taget.
Vil du sikre, at virksomheden undgår en lignende situation, magen til den IDdesign A/S utilsigtet befandt sig i, da Datatilsynet udførte deres tilsynsbesøg, så skal I implementere følgende i virksomheden:
Implementér en politik om, at alt IT-udstyr, som udfases fra driften, skal håndteres og dataslettes i umiddelbar forlængelse af, eller kort tid efter, dets udfasning. En placering i et låst kælderrum er ALDRIG den endelige løsning. Der SKAL foretages sletning af personfølsomme data – også selv om strømmen er taget.
Inkludér ikke kun udstyr fra jeres serverrum og datacentre (servere, storage og netværksudstyr), men medtag også det udstyr, som kommer fra medarbejdere og brugere (telefoner, laptops, desktops, tablets mv.).
Inkludér alle typer af datamedier. Både diske og medier fra server-, storage- og netværksudstyr, tapes fra back-up systemer samt øvrige typer medier anvendt i virksomheden (USB-sticks, SIM- og adgangskort, optiske medier etc.).
Indgå en samarbejdsaftale med en databehandler, som kan efterleve de krav, som I og databeskyttelsesforordningen stiller. Samarbejd kun med en databehandler, som er certificeret til at kunne efterleve internationale standarder til styring af informationssikkerheden. F.eks. en ISO 27001 certificeret databehandler.
Dokumentér politikken, samarbejds- og databehandleraftalen, samt at sletning af de konkrete og registrerede medier er gennemført efter anerkendte sletningsstandarder.
Vær opmærksom på, at mange type virksomheder påberåber sig ovenstående evner, men at kun få af dem reelt kan efterleve de krav, som du stiller, og som forordningen indirekte kræver.
5 skridt til at komme i gang
Ping IT A/S er Danmarks førende aktør indenfor håndtering, værdiansættelse, køb og datasletning af udfaset IT-udstyr fra private virksomheder, koncerner og offentlige myndigheder. Vi ved, at opgaven relateret til sikringen af virksomhedens data er alt afgørende, men vi er også bevidste om, at vi skal kunne løfte alle de øvrige opgaver og ansvar, som følger med.
Ping IT A/S er Danmarks førende aktør indenfor håndtering, værdiansættelse, køb og datasletning af udfaset IT-udstyr fra private virksomheder, koncerner og offentlige myndigheder. Vi ved, at opgaven relateret til sikringen af virksomhedens data er alt afgørende, men vi er også bevidste om, at vi skal kunne løfte alle de øvrige opgaver og ansvar, som følger med.
Opstarten af et samarbejde med Ping IT inkluderer følgende 5 skridt:
1) Initiering af dialog, hvor virksomhedens behov og udfordringer på området afdækkes – både når det gælder enkeltstående større udskiftninger, såvel som i den daglige drift.
2) Indgåelse af en databehandleraftale baseret på vores, jeres eller en faglig/rådgivende organisations aftaleskabelon.
3) Koordinering om den praktiske logistiske udførelse af afhentningen af det udfasede IT-udstyr og datamedier.
4) Registrering og værdiansættelse af IT-udstyr, herunder køb af udstyr.
5) Datasletning af samtlige medier, og fremsendelse af dokumentation herpå.
Vi påtager os at udføre samtlige af de indsatser, som ligger i udførelsen af opgaven, herunder levering af sikkerheds- og pakkeudstyr, nedtagning og pakning af udstyr on-site, transport i egne biler af sikkerhedsscreenede medarbejdere, samt registrering, køb og naturligvis datasletning på egen sikker datasletningslokation i Danmark.
Datasikkerhed inkluderer bæredygtig ansvarlighed og forøget indtjening
Ved udførelsen af den lovpåkrævede behandling af data på udfaset IT-udstyr og datamedier, påtager vi os også et økonomisk ansvar.
Vi værdiansætter det afhentede udstyr, og køber det af jer. Det er økonomisk snusfornuft, og kan betyde flere tusinde kroner retur til IT-afdelingen.
Ved udførelsen af den lovpåkrævede behandling af data på udfaset IT-udstyr og datamedier, påtager vi os også et økonomisk ansvar.
Vi værdiansætter det afhentede udstyr, og køber det af jer. Det er økonomisk snusfornuft, og kan betyde flere tusinde kroner retur til IT-afdelingen.
Men vi er samtidigt også ansvarlige for, at det udstyr som ikke kan gensælges, bliver genvundet cirkulært, så miljøbelastningen reduceres. Vi anvender social og ansvarlig arbejdskraft, og bidrager til den bæredygtige omstilling ved at sikre, at råvarer og materialer fra udstyret cirkulært genvindes med tæt på 100% effektivitet.
Et løft af datasikkerheden påkrævet, i relation til det udfasede IT-udstyr og data herpå, vil med andre ord betyde et løft for hele virksomheden, og Jeres ansvar i samfundet.
