Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Det seneste års tid har langt de fleste virksomheder investeret betydelige interne ressourcer, penge, og mange har også fået ekstern hjælp til at forberede sig på persondataforordningen, kaldet GDPR, der træder i kraft i dag.
En væsentlig årsag til travlheden med at overholde persondataforordningen er, at virksomheder kan blive idømt endog meget store bøder på op til 20 millioner euro eller 4% af omsætningen, hvis der sker brud på reglerne. De store konsekvenser har fået GDPR helt op øverst på agendaen hos både topchefer, virksomhedsejere og bestyrelser.
"Arbejdet med at overholde reglerne i den kommende persondataforordning har primært omhandlet digitale data. Hvordan indsamler og opbevarer vi data, hvilke tilsagn skal vi have fra kunder og ikke mindst, hvordan sikrer vi, at udenforstående ikke får adgang til vores fortrolige data. Det har naturligvis skabt kronede dage hos IT-konsulenter og sikkerhedsfirmaer", siger Jørgen Foley, der er adm. direktør, ACCO Brands. Han fortsætter:
"Men når vi i ACCO i både Danmark og andre europæiske lande taler med vores kunder, får vi ofte den fornemmelse, at langt de fleste virksomheder helt eller delvist har overset den største og mest udbredte kilde til datasikkerhedsbrud.
Nemt at ’hacke’ en affaldscontainer
Langt de fleste virksomheder opbevarer og behandler data på papir – typisk parallelt med digital opbevaring, og selvom papirforbruget falder, er det stadig stort! Samtidig stiger mængden af informationer, vi har adgang til. Førhen bestod et kundekartotek primært af navne, adresser o.l. I dag har man omfattende viden om ens kunder og samarbejdspartnere og næsten alle de data er typisk omfattet af forordningen.
En undersøgelse foretaget af den britiske datamyndighed i 2016 viste, at hele 40% af alle databrud kunne tilskrives papirdokumenter. Alskens digital datasikkerhed hjælper ikke, hvis medarbejdere efterlader fortrolige dokumenter i papirkurve og affaldscontainere.
"Man kan levende forestiller sig hvordan journalister, forskellige NGO’er og aktivister vil prøve at dokumentere brud på forordningen på den mest enkelte og oplagte måde ved at gennemtrawle affaldscontainere. Deres formål vil alene være at dokumentere, at nogle virksomheder ikke lever op til deres ansvar, og det kræver faktisk ikke de store evner at ’hacke’ en affaldscontainer", siger Jørgen Foley og fortsætter:
"Langt mere alvorligt bliver det, når egne medarbejdere, eller eksternt rengøringspersonale og håndværkere eller andre uberettiget får adgang til fortrolige oplysninger som efterfølgende misbruges. Bødens størrelse er alvorlig nok, men oveni kommer omdømmetab og mistet tillid fra kunder og andre interessenter. Det er meget alvorligt!"
Makulatorer med autofeed
Heldigvis er det ret enkelt at fjerne denne risiko – endda med velkendt teknologi og solide interne forretningsgange, så papirer ikke flyder på kontoret og alt makuleres tilstrækkeligt inden det havner blandt affaldet.
"Det er afgørende, at virksomheden har veletablerede forretningsgange, så papir med fortrolige data ikke er tilgængelige for andre. Skriveborde og papirkurve fulde af persondata repræsenterer en betydelig sikkerhedsrisiko og kan koster bøde og store tab. Alle datafølsomme dokumenter skal være aflåste, når de ikke benyttes. Hvis de efter endt brug skal kasseres, skal de makuleres", siger Jørgen Foley og slutter:
"Heldigvis er det meget nemmere at makulere effektivt i dag, end med de gamle makulatorer, vi husker fra tidligere. Vores Rexel makulatorer har autofeed funktion, på samme måde som kopimaskinen, og desuden en 4-cifret kode til magasinet, så man hverken behøver ’at føde’ eller overvåge maskinen, da ens data er sikkert låst inde".