Vi benytter cookies på DN.no til analyseformål, tilpasning av innhold og annonser og for å videreutvikle våre tjenester.Les mer her.

I disse metallkassene, som her på Elkjøp på Ullevål, kan man levere brukte datamaskiner og være sikker på at alt innhold blir slettet på en sikker måte. Men langt fra alle leverer brukt utstyr på denne måten. Foto: Gunnar Lier
I disse metallkassene, som her på Elkjøp på Ullevål, kan man levere brukte datamaskiner og være sikker på at alt innhold blir slettet på en sikker måte. Men langt fra alle leverer brukt utstyr på denne måten. Foto: Gunnar Lier les mer

Teknologi

Dumping av it-utstyr med uslettede data kan gi store bøter

Stikkprøver viser at datautstyr levert til gjenvinning ofte inneholder ubeskyttede persondata. Fra neste år vil bøtene for å unnlate å sikre kassert datautstyr mangedobles.

Artikkelen er lagt til i din leseliste.

I en rekke stikkprøver foretatt av it-selskapet AD viser det seg at nesten alle pc-er levert til gjenvinning inneholder sensitive data. Kun unntaksvis er harddisken fjernet eller kryptert før utstyret blir kassert.

Ny personvernlov (GDPR)

General Data Protection Regulation

  • Trer i kraft i 2018 og gjelder også i Norge.
  • Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere må følge reglene.

Hovedtrekk

  • Alle selskaper skal ha en forståelig personvernerklæring.
  • Alle selskaper skal vurdere risiko og personvernkonsekvenser.
  • Alle selskaper skal bygge personvern inn i nye løsninger.
  • Mange bedrifter må ha eget personvernombud.
  • Loven gjelder også virksomheter utenfor Europa og underleverandører.
  • Alle selskaper skal ha rutiner for avvikshåndtering.
  • Alle avvik skal varsles Datatilsynet. Det blir ulovlig å skjule avvik.
  • Alle må kunne oppfylle borgernes nye rettigheter

Kilde: Datatilsynet

Vis mer

AD driver med såkalt sisteledds sikkerhet, det vil si sikker sletting av data fra pc-er, nettbrett og smarttelefoner som blir kassert. De eies av Norsirk som er den største aktøren innen gjenvinning av elektronisk utstyr i Norge.

– Vi gjør jevnlig slike stikkprøver i Norge. Maskinene vi sjekker har vi fått av Norsirk, som er juridisk eier av utstyret etter at det er levert til gjenvinning, sier sikkerhetssjef Lene Zachariassen i AD til DN.

Ved den siste stikkprøven ble lagringsmediet i 12 pc-er sjekket. I tre pc-er var harddisken fjernet, men i de andre ni lå alt innhold tilgjengelig uten noen form for kryptering og kunne leses uhindret.

– Vi sjekker ikke alle detaljer i dataene, men kartlegger hvilke typer data som ligger på diskene. Som oftest finner vi full e-posthistorikk, brev, dokumenter og bilder, sier Zachariassen.

Det er vanskelig å vite sikkert hvor stort problemet med usikrede data på avveier er i Norge. Det selges omtrent en million pc-er i året og enda flere smarttelefoner og nettbrett. Nøyaktig hvor mange som slettes sikkert før de gjenvinnes eller gis videre er vanskelig å kartlegge.

– Basert på vår kjennskap til markedet er det mindre enn halvparten, sier Geir Erik Lian, administrerende direktør i AD.

Sikker sletting har ingen offentlig definisjon i Norge, men bransjenormen er at sikker sletting betyr at dataene fjernes på en måte som gjør at de ikke kan gjenopprettes igjen. Dette krever spesialprogrammer. Vanlig sletting via papirkurven i Windows eller på en Mac er ikke sikker sletting.

– Vi kunne tenke oss å utfordre myndighetene til å utforme en standard for sikker sletting, sier Lian.

Strengere straffer fra neste år

Å unnlate å slette sensitive data på en sikker måte før man kasserer elektronisk utstyr er straffbart etter dagens regelverk for håndtering av personopplysninger.

– Bedrifter er ansvarlige for håndteringen av personopplysninger som ligger på bedriftens it-utstyr, for eksempel opplysninger om kunder eller de ansattes e-poster. Små overtramp sanksjoneres med pålegg om bedre rutiner, mens grovere overtramp kan bøtelegges. Vi kan gi overtredelsesgebyr på inntil 10G, sier Tobias Judin, juridisk rådgiver i Datatilsynet.

10G vil si ti ganger folketrygdens grunnbeløp på rundt 93.000 kroner.

Fra mai 2018 får vi en ny personvernforordning i Norge og Europa, kalt GDPR. Da blir reglene enda strengere og sanksjonene kraftigere.

– Bedrifter som dumper it-utstyr med usikrede persondata vil etter GDPR kunne bli bøtelagt med inntil 10 millioner euro (80 millioner kroner med dagens kurs, journ. anm.). Det er selvsagt for mye i de fleste tilfeller, men nivået på bøtene nok vil stige markant under GDPR, sier Judin.

Økt bevissthet

DN har snakket med noen av Norges største it-leverandører om håndteringen av kassert it-utstyr. Samtlige melder om en tydelig økt interesse for sikker sletting.

– I 2016 håndterte vi i underkant av 400.000 enheter for våre kunder, det var en økning på 22 prosent fra året før. Vi håper på et nytt rekordår for returordningen vår i 2017, sier Andreas Rydell, bærekraftsjef i Atea.

Han sier den nye personvernloven (GDPR) nok har en innvirkning på den økte bevisstheten, men at sikkerhet er blitt mer viktig for bedriftene de siste årene.

– Tidligere var det bærekraft og det miljømessige som var viktigst for kundene når de ville returnere utstyr, men de siste par årene har de blitt tydelig mer sikkerhetsbevisste. Miljø og GDPR er det kundene nevner når de ringer oss, sier Rydell.

Også i privatmarkedet har bevisstheten rundt sikker sletting økt, forteller Madeleine Schøyen Bergly, kommunikasjonsansvarlig i Elkjøp Norge.

– Vi har gjort en undersøkelse som viser at 70 prosent av våre kunder er bekymret for data på avveier når de bytter pc, telefon og nettbrett, sier Bergly i Elkjøp Norge, som mottar rundt 20 tonn e-avfall som kan inneholde sensitive data i året.

– Dersom man leverer it-utstyr til oss i åpningstiden blir de lagt i plomberte skap som kun tømmes av gjenvinningsbedrifter som sletter alle data sikkert. Vi har også løsninger for å hjelpe dem som vil gi brukt utstyr videre, sier Bergly.(Vilkår)

IT-sikkerhet Personvern Teknologi
Bli Varslet

Ikke gå glipp av noe!

Du kan få en epost hver gang vi skriver om dette.