Inför GDPR: Glöm inte gamla och uttjänta datorer!

I maj 2018 träder EU:s nya dataskyddslag GDPR i kraft. Den nya lagen ersätter personuppgiftslagen (PuL) och innebär att kraven höjs på hur företag hanterar och lagrar information om personer. Slarv kan ge böter på mångmiljonbelopp.

Vi har tidigare här på Konsultguiden skrivit om GDPR och givit tips och råd kring förberedelser inför den nya lagen.

PUL ansågs tandlös och behövde moderniseras, men med de nya reglerna ändras detta radikalt. GDPR ställer betydligt hårdare krav på företag och myndigheter som hanterar personuppgifter och ger medborgarna ett starkare skydd än i dag. Lagen påverkar företag i alla storlekar, i alla regioner och i alla branscher. De företag som inte är fullt kompatibla i den 25 maj nästa år riskerar dryga böter och förlorat anseende om de inte har fullgott skydd.

Om till exempel en organisation drabbas av dataintrång eller om en dator kommer på villovägar och incidenten klassas som allvarlig måste organisationen, enligt GDPR, informera de personer som berörs och anmäla saken till Datainspektionen inom 72 timmar. Med allvarlig menas att informationen som läckt ut kan leda till att personer utsätts för utpressning, bedrägerier eller id-stölder. Innehållet i de flesta smarta mobiler eller jobbdatorer faller under den kategorin.

Reglerna gäller även den information som finns lagrad i IT-utrustning som exempelvis förpassas till ett förråd eller skänks till personalen.

– Jag tror att många inte tänker på att skydda informationen i den utrustning som är avskriven. Med GDPR blir det ännu viktigare för organisationer att dels skapa en säker hantering av datorer, mobiler och andra produkter som fasas ut, dels att säkerställa att all data raderas på ett korrekt sätt och inte kan återskapas. Dessutom måste man kunna visa att så har skett genom exempelvis raderingscertifikat, säger Daniel Bonde, säkerhetschef på Inrego som är specialiserat på återanvändning och dataradering av IT-utrustning.

Att skicka produkterna eller hårddiskarna till återvinning och skrotning är dock inte ett säkert alternativ, påpekar han.

– Det kanske verkar som en trygg lösning, men då förlorar man kontrollen över hur produkterna hanteras och får heller inget bevis för att informationen är ordentligt raderad. Dessutom är det väldigt onödigt att kassera och skrota datorer som ofta kan återanvändas och komma till nytta igen, säger Daniel Bonde.

För att vara på den säkra sidan bör företagen använda någon form av raderingsprogram.

Som exempel kan nämnas raderingsprogrammet Blancco, godkänt av bland andra NATO och Försvarsmakten. Efter raderingen utfärdas ett certifikat som bevisar att radering har genomförts på serienummernivå. De hårddiskar som inte kan raderas skickas till destruktion och därefter utfärdas ett destruktionsintyg.

author image

Åsa Larsson

Kontakta mig