Ny dataskyddslag ställer krav på radering av information

I maj 2018 träder EU:s nya dataskyddslag, GDPR, i kraft i Sverige och ersätter personuppgiftslagen, Pul. De nya reglerna innebär att kraven höjs på hur företag hanterar och lagrar information om personer.

Slarv kan ge böter på mångmiljonbelopp.

General Data Protection Regulation (GDPR) eller dataskyddsförordningen som den kallas på svenska blir lag i hela EU den 25 maj nästa år. Lagen ställer betydligt hårdare krav på företag och myndigheter som hanterar personuppgifter jämfört med dagens regler och ger medborgarna ett starkare skydd.

Om till exempel en organisation drabbas av dataintrång eller om en dator kommer på villovägar och incidenten klassas som allvarlig så måste organisationen, enligt GDPR, informera de personer som berörs och anmäla saken till Datainspektionen inom 72 timmar. Med allvarlig menas att informationen som läckt ut kan leda till att personer utsätts för utpressning, bedrägerier eller id-stölder. Innehållet i de flesta smarta mobiler eller jobbdatorer faller under den kategorin.

Pul ansågs tandlös men med dataskyddsförordningen skärps straffskalan. Datainspektionen ska kunna döma ut böter på uppemot 20 miljoner euro till företag som exempelvis hanterar personuppgifter utan lagligt stöd, inte anmäler en säkerhetsincident eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder.

GDPR innebär stränga krav på spårbarhet och att man har full kontroll på de personuppgifter som lagras i till exempel olika databaser och system. Reglerna gäller även den information som finns lagrad i IT-utrustning som exempelvis förpassas till ett förråd eller skänks till personalen.

– Jag tror att många inte tänker på att skydda informationen i den utrustning som är avskriven. Med GDPR blir det ännu viktigare för organisationer att dels skapa en säker hantering av datorer, mobiler och andra produkter som fasas ut, dels att säkerställa att all data raderas på ett korrekt sätt och inte kan återskapas. Dessutom måste man kunna visa att så har skett genom exempelvis raderingscertifikat, säger Daniel Bonde, säkerhetschef på Inrego som är specialiserat på återanvändning och dataradering av IT-utrustning.

Att skicka produkterna eller hårddiskarna till återvinning och skrotning är dock inte ett säkert alternativ, påpekar han.

– Det kanske verkar som en trygg lösning, men då förlorar man kontrollen över hur produkterna hanteras och får heller inget bevis för att informationen är ordentligt raderad. Dessutom är det väldigt onödigt att kassera och skrota datorer som ofta kan återanvändas och komma till nytta igen, säger Daniel Bonde.

Inrego använder raderingsprogrammet Blancco som är godkänt av bland andra NATO och Försvarsmakten. Efter raderingen utfärdas ett certifikat som bevisar att radering har genomförts på serienummernivå. De hårddiskar som inte kan raderas skickas till destruktion varefter ett destruktionsintyg utfärdas.