Ubehandlet data på udfaset IT-udstyr kan give millionbøder fra Datatilsynet

Ping IT A/S
Thomas Kock, Business Unit & Compliance Manager
  
I en af de første konkrete bødeforlægssager fra Datatilsynet grundet manglende efterlevelse af regler i databeskyt­telsesforordningen (GDPR), blev IDdesign A/S tidligere på året indstillet til en bøde på 1,5 mio kr. for manglende slet­ning af oplysninger om kunder på et ældre IT-system. Det kan imødegås med en tilpasset politik - og ikke mindst med den rette samarbejdspartner.
For flertallet af private og offentlige virksomheder lig­ger fokus i håndteringen af, og kontrollen med, IT-ud­styr og -systemer ganske naturligt på de dele, som er i drift. Men med bødeforlægget fra Datatilsynet til mø­belvirksomheden IDdesign A/S, for manglende slet­ning af personoplysninger om ca. 385.000 kunder, er kravet til virksomheders IT-driftsansvarlige og direkti­on med et slag ændret.
Implementeringen af forordningens krav og procedu­rer til måden hvorpå data og IT-udstyr håndteres, skal også inkludere det udfasede udstyr og data herpå. Det betyder tillæg til eksisterende politikker og pro­cedurer, som konkret anviser hvordan data fra udfa­sede systemer skal behandles efter endt anvendelse.
Det er med andre ord ikke nok, blot at sætte IT-ud­styret og datamedierne i kælderen, låse døren, og så eventuelt håndtere det ved senere lejlighed.
  
Sådan undgår du bøder for ubehandlet data på udfaset IT-udstyr
Vil du sikre, at virksomheden undgår en lignende situ­ation, magen til den IDdesign A/S utilsigtet befandt sig i, da Datatilsynet udførte deres tilsynsbesøg, så skal I implementere følgende i virksomheden:
 
Implementér en politik om, at alt IT-udstyr, som udfases fra driften, skal håndteres og dataslettes i umiddelbar forlængelse af, eller kort tid efter, dets udfasning. En placering i et låst kælderrum er ALDRIG den endelige løsning. Der SKAL foreta­ges sletning af personfølsomme data – også selv om strømmen er taget.
Inkludér ikke kun udstyr fra jeres serverrum og datacentre (servere, storage og netværksudstyr), men medtag også det udstyr, som kommer fra medarbejdere og brugere (telefoner, laptops, de­sktops, tablets mv.).
Inkludér alle typer af datamedier. Både diske og medier fra server-, storage- og netværksudstyr, tapes fra back-up systemer samt øvrige typer me­dier anvendt i virksomheden (USB-sticks, SIM- og adgangskort, optiske medier etc.).
Indgå en samarbejdsaftale med en databehandler, som kan efterleve de krav, som I og databeskyt­telsesforordningen stiller. Samarbejd kun med en databehandler, som er certificeret til at kunne efterleve internationale standarder til styring af informationssikkerheden. F.eks. en ISO 27001 cer­tificeret databehandler.
Dokumentér politikken, samarbejds- og databe­handleraftalen, samt at sletning af de konkrete og registrerede medier er gennemført efter aner­kendte sletningsstandarder.
Vær opmærksom på, at mange type virksomheder på­beråber sig ovenstående evner, men at kun få af dem reelt kan efterleve de krav, som du stiller, og som for­ordningen indirekte kræver.
  
5 skridt til at komme i gang
Ping IT A/S er Danmarks førende aktør indenfor hånd­tering, værdiansættelse, køb og datasletning af udfa­set IT-udstyr fra private virksomheder, koncerner og offentlige myndigheder. Vi ved, at opgaven relateret til sikringen af virksomhedens data er alt afgørende, men vi er også bevidste om, at vi skal kunne løfte alle de øvrige opgaver og ansvar, som følger med.
  
Opstarten af et samarbejde med Ping IT inkluderer følgende 5 skridt:
 
1) Initiering af dialog, hvor virksomhedens behov og udfordringer på området afdækkes – både når det gælder enkeltstående større udskiftninger, såvel som i den daglige drift.
 
2) Indgåelse af en databehandleraftale baseret på vo­res, jeres eller en faglig/rådgivende organisations af­taleskabelon.
 
3) Koordinering om den praktiske logistiske udførelse af afhentningen af det udfasede IT-udstyr og datamedier.
 
4) Registrering og værdiansættelse af IT-udstyr, her­under køb af udstyr.
 
5) Datasletning af samtlige medier, og fremsendelse af dokumentation herpå.
 
Vi påtager os at udføre samtlige af de indsatser, som ligger i udførelsen af opgaven, herunder levering af sikkerheds- og pakkeudstyr, nedtagning og pakning af udstyr on-site, transport i egne biler af sikkerheds­screenede medarbejdere, samt registrering, køb og naturligvis datasletning på egen sikker datasletnings­lokation i Danmark.
  
Datasikkerhed inkluderer bæredygtig ansvarlighed og forøget indtjening
Ved udførelsen af den lovpåkrævede behandling af data på udfaset IT-udstyr og datamedier, påtager vi os også et økonomisk ansvar.
Vi værdiansætter det afhentede udstyr, og køber det af jer. Det er økonomisk snusfornuft, og kan betyde flere tusinde kroner retur til IT-afdelingen.

Men vi er samtidigt også ansvarlige for, at det udstyr som ikke kan gensælges, bliver genvundet cirkulært, så miljøbelastningen reduceres. Vi anvender social og an­svarlig arbejdskraft, og bidrager til den bæredygtige om­stilling ved at sikre, at råvarer og materialer fra udstyret cirkulært genvindes med tæt på 100% effektivitet.
Et løft af datasikkerheden påkrævet, i relation til det udfasede IT-udstyr og data herpå, vil med andre ord betyde et løft for hele virksomheden, og Jeres ansvar i samfundet.

© Ping IT A/S 2020