Kun halvparten av norske kommuner sørger for dokumentert sletting av personopplysninger.
Andre tar i bruk mer voldelige metoder som slegge eller sprengstoff for å slette data, konkluderer Ibas og Norsk senter for informasjonssikring (NorSIS).
En undersøkelse nylig utført av YouGov viser – på den positive siden – at tre av fire norske kommuner har rutiner for datasletting.
Kritisk behov for å samle Data-Norge
Men metodene de bruker, er mildt sagt «ikke alltid i henhold til retningslinjer i personopplysningsloven og fra Nasjonal Sikkerhetsmyndighet (NSM)», som det nøkternt heter i en pressemelding.
Drastiske virkemidler
Lovverket pålegger kommunene å slette data slik at det ikke skal være mulig å gjenskape dem, men det defineres ikke hvordan selve slettingen skal utføres.
Ifølge undersøkelsen er det fortsatt «et skremmende høyt antall» kommuner som bruker fysisk destruksjon som metode for sletting av innbyggerkritisk informasjon.
Datafeil «stjal» 900 trønderbarn
– Ibas opplever at Kommune-Norge er klar over viktigheten av å slette sensitive data, men sikre rutiner prioriteres ikke. Det finnes nesten ikke grenser for hvilke metoder mange kommuner tar i bruk for å kvitte seg med sensitive data, uttaler administrerende direktør Hans Berg i Ibas, og lister noen eksempler:
- Gravd ned eller sprengt på byggeplasser
- Overkjørt av tunge anleggsmaskiner
- Gravd ned på kirkegård
- Gjennomboret, bruk av drill eller slegge
- Brukt som blink og skutt på med håndvåpen
Myndighetene må lage en overordnet veiledning om sletting av sensitiv informasjon som konkretiserer hvilke metoder som er sertifiserte, både nasjonalt og internasjonalt, mener Ibas-direktøren.
– Det bør stilles krav til at sertifisert sletting skal dokumenteres. Først da vil innbyggerne i kommunene vite at deres informasjonssikkerhet er ivaretatt, sier Berg.
– Bekymringsfullt
– Informasjon skal behandles fra «vugge til grav», og da må det være kontroll på informasjonen i hele livssyklusen. Mange glemmer avhendingen av datautstyr og den informasjonen som ligger igjen på gammelt utstyr, sier NorSIS-direktør Tore Larsen Orderløkken.
Det er bekymringsfullt at bare halvparten av kommunene får dokumentert at utrangert datautstyr er permanent slettet, mener han.
– Og det er enda mer bekymringsfullt at kun 29 prosent følger kravene om sertifiserte løsninger fra Nasjonal Sikkerhetsmyndighet (NSM), sier Orderløkken.
Sensitiv helseinformasjon
I løpet av 2011 vil sju av ti kommuner bli knyttet opp mot Norsk Helsenett, den elektroniske samhandlingsarenaen for helse- og omsorgssektoren i Norge.
Les også: Sender pasientlister på diskett
Frykter fri flyt av pasientdata
– Spredte registre truer personvernet
Dette gjør sikker sletting enda mer kritisk, mener NorSIS.
- Over halvparten av kommunene som enten er eller blir tilknyttet Helsenettet, sletter data uten dokumentasjon.
- 6 prosent vet ikke om data blir slettet i det hele tatt.
- Mindre en én av fire kommuner har etablert rutiner som tilfredsstiller Norm for Informasjonssikkerhet i helsesektoren, altså at lagringsmedier som inneholder helse- og personopplysninger slettes med løsninger godkjent av NSM.
– Kravene til hvordan data fra Helsenettet skal slettes er krystallklare. Når fortsatt 51 prosent av de tilknyttede kommunene ikke følger opp disse kravene, må man stille seg spørsmål om hvem som skal kontrollere kravene i Normen. Hvis slike data kommer på avveie, vil det være katastrofalt for dem som rammes, og for kommunens omdømme, sier Orderløkken.
Les også: