Slett data – ikke gjør som kommunene

Share Button

For to dager siden skrev jeg om at omtrent halvparten av Norges kommuner bryter personvernet ved å ikke følge personopplysningslovens krav om internkontroll. I dag har VG/Computerworld eksempler på hvordan noen kommuner har forsøkt å kvitte seg med sensitiv informasjon. Enkelte kommuner skal ha kvittet seg med denne typen data ved å bruke lagringsenhetene som skyteskive og ved å grave dem ned på kirkegården. Dette sier svært mye om de kommuneansattes kompetanse, eller mangel på sådan.

“Det enkleste er pistol”

En hver person med litt omløp i hodet skjønner at det er grenser for hvor mye data man klarer å slette ved hjelp av hammer og slegge. Vanlig sletting av dokumenter er heller ikke godt nok. Når du sletter et dokument på vanlig måte er det som regel bare ”pekeren” til informasjonen som blir slettet. Dermed er fortsatt store deler av informasjon intakt på harddisken. Dette er spesielt uheldig dersom kommunene sørger for at IKT-utstyret gjenbrukes av andre, eller at andre får tilgang til det.

Slik sletter du

Om det er en privat datamaskin man ønsker å slette innholdet til holder det å følge rådene til Nettvett.no. De har en grei gjennomgang på “slik gjør du det”. (Nettvett.no driftes av Post- og teletilsynet.)

Har man behov for å slette gradert informasjon kan det lønne seg å ta en titt på nettsidene til Nasjonal sikkerhetsmyndighet (NSM). De har en oversikt over en rekke godkjente produkter.

Det kan også være verdt å ta en titt på nettsidene til Norsk senter for informasjonssikring (NorSIS), som har en rask veiledning for sikker sletting. (NorSIS er en del av regjeringens helhetlig satsing på informasjonssikkerhet i Norge.)

Mangelfullt regelverk

Det er det Kongsvingerbaserte dataselskapet Ibas som er kilden til VG sin sak. På Ibas nettsider viser man blant annet til at det er et mangelfullt regelverk som er årsaken til den merkelige databehandlingen.  Sikkerhetsbestemmelsene i personopplysningsforskriften § 2-11 pålegger nemmelig kommunene å slette data slik at det ikke skal være mulig å gjenskape data, men det står ingen ting om hvordan selve slettingen skal utføres. Dermed er hver enkelt overlatt til seg selv å finne en måte å gjøre det på. Og det skal ikke stå på kreativiteten når kommune-Norge fysisk destruerer lagringsmedier med sensitive data. Her er noen eksempler:

* Gravd ned eller sprengt på byggeplasser

* Overkjørt av tunge anleggsmaskiner

* Gravd ned på kirkegård

* Gjennomboret, bruk av drill eller slegge

* Brukt som blink og skutt på med håndvåpen

Datalagringsdirektivet

Jeg antar at overnevnte gir kampanjeorganisasjon Stopp Datalagringsdirektivet og deres leder Anders Brenna nok en grunn til å være skeptisk til datalagringsdirektivet. Hvem vet, kanskje vi snart finner oversikten over all vår datatrafikk ved nærmeste gravstein?