Kommunene er storforbrukere av datamaskiner og elektroniske lagringsmedier. Men en ny undersøkelse avdekker graverende mangler med det offentliges sletting av personlige opplysninger om hver enkelt av oss.
I stedet for å fjerne informasjonen som ligger igjen på gamle harddisker, blir noe av utstyret ødelagt med skytevåpen, slegge, drill eller anleggsmaskiner.
Halvparten har dårlige rutiner
Når kommunene anskaffer nytt datautstyr, er det bare halvparten av dem som sletter følsom informasjon på en trygg måte. De andre kan ikke dokumentere at opplysningene faktisk er helt fjernet.
15 prosent av kommunene har ingen sletterutiner i det hele tatt. Og bare 29 prosent bruker løsninger som følger retningslinjene i
og fra Nasjonal Sikkerhetsmyndighet (NSM).Dette framgår av en undersøkelse som er gjennomført av NorSIS (Norsk senter for informasjonssikring) og dataslettingsfirmaet Ibas.
Kan være lovbrudd
Enda verre er praksisen med sletting av sensitive helseopplysninger om privatpersoner.
Halvparten av de kommunene som enten er eller vil bli tilknyttet Norsk Helsenett sletter data uten dokumentasjon. Og seks prosent vet ikke om dataene blir slettet i det hele tatt.
skal blant annet legge til rette for at pasientinformasjon kan kommuniseres elektronisk på en sikker måte mellom ulike aktører i helsevesenet.
Kun 24 prosent av kommunene har sletterutiner for private helseopplysninger som tilfredsstiller kravene i Norm for informasjonssikkerhet i helsesektoren.
- Ifølge personopplysningsloven er helseinformasjon om enkeltpersoner ekstra sensitive opplysninger som skal sikres spesielt godt. Det er et grovt lovbrudd hvis man unnlater å gjøre det, sier seniorrådgiver Tone Hoddø Bakås i NorSIS til NRK.no.
LES OGSÅ:
Våpen og gravemaskiner
Men det mangler ikke på andre metoder for å kvitte seg med dataene.
Undersøkelsen viser at noen kommuner graver ned gamle harddisker på byggeplasser, eller at de rett og slett sprenger dem i lufta der.
Andre metoder er å skyte på harddiskene med håndvåpen, eller å ødelegge dem med drill eller slegge.
Noen kommuner bruker anleggsmaskiner til å overkjøre gamle harddisker som inneholder følsom informasjon. Tidligere er det også rapportert om at kommunale lagringsmedier er gravd ned på norske kirkegårder.
Sikkerheten ved slike kreative metoder er et helt annet spørsmål.
Kan rekonstrueres
- Fysisk vold gjør det mer arbeidskrevende å rekonstruere data, men det er ofte fullt mulig å gjøre det.
- Sikker sletting skal kun skje med godkjent programvare. Hvor programmene kommer fra er hipp som happ for oss så lenge de godkjente, sier Tone Hoddø Bakås.
Hun mener også kastingen av datautstyr i naturen er et miljøproblem.
- Les mer hos NorSIS om .
Bakås tror at én av grunnene til kommunenes slepphendte behandling av persondata kan være at lagringsmedier er blitt så billige.
- Å ta sikkerhetskopier er både rimelig og enkelt. Men mange kommuner tenker ikke på at dette øker behovet for korrekt sletting, sier hun.
LES OGSÅ:
- Bekymringsfullt
Også lederen i NorSIS, Tore Larsen Orderløkken, mener tallene i undersøkelsen er bekymringsfulle.
- Det verste er at mange kommuner ikke har sletterutiner i det hele tatt. Det betyr ikke nødvendigvis at slettingen foregår på en utrygg måte, men mye rart kan skje når dette gjøres helt tilfeldig, sier han.
Orderløkken mener at det offentlige burde gått foran med et godt eksempel.
- Vårt inntrykk er at kommunale arkiver er godt sikret. Men dataene har en livssyklus fra vugge til grav. Mange kommuner tenker mer på det som skjer underveis enn på den siste delen av denne syklusen. Det er ikke bra.
- Dette handler mest om mangel på gode rutiner i sluttfasen, sier Orderløkken til NRK.no. Han mener det vil være katastrofalt for enkeltpersoner som rammes og for kommunens omdømme hvis sensitive data kommer på avveier.
Savner veiledning
Lederen for Ibas, som også står bak undersøkelsen, etterlyser en mer offensiv holdning til problemet fra sentrale myndigheter.
- Vi mener det bør lages en overordnet veiledning til alle forskrifter og lover som handler om sletting av sensitiv informasjon, sier administrerende direktør Hans Berg.
Han mener en slik veiledning bør konkretisere både slettemetodene som er sertifisert i Norge og internasjonalt, og kravene som må stilles til at slettingen kan dokumenteres.
- Først da vil innbyggerne i kommunene vite at informasjonssikkertheten deres er ivaretatt, mener han.