Sikker bortskaffelse af fysiske informationsmaterialer (papir, harddiske mv.)

08/15/2019

 

Fra tid til anden dukker der historier op i pressen, som fortæller om lækkede oplysninger eller informationer der er kommet til ‘journalistens kendskab’ uden yderligere forklaring. Dette er resultatet af, at nogen bevidst eller ubevidst har behandlet informationer på en usikker måde.

At informationer på denne måde bliver offentliggjort kan skade alle organisationer. Den mest effektive måde at fjerne denne trussel på er, at opbevare informationsmaterialer sikkert og destruere dem, når man ikke længere skal bruge dem.

I forbindelse med Persondataforordningen (GDPR) samt den generelle omtale af cybersikkerhed er flere og flere blevet bevidste om risici ved håndtering af informationer.

Der er rigtigt mange elementer i en full-scale plan for informationssikring. Denne vejledning omhandler destruktion og makulering.

Risikovurdering

Man skal altid spørge sig selv om man kan tåle at andre får kendskab til indholdet af et dokument.

Er svaret JA, skal man ikke foretage sig yderligere.

Er svaret NEJ, skal man sørge for, at informationsmaterialerne
bliver makuleret.

Det sker bedst ved, at man selv makulerer dokumentet øjeblikkeligt. Så har man vished for at informationen er tilintetgjort.

EN standard

Der er en standard for makulering. Den hedder DIN 66399 og angiver i forskellige niveauer fra 1-7, hvordan et dokument (og andre informationsbærende medier) skal sønderdeles. Niveau 1 er det laveste og niveau 7 er det højeste. For hvert niveau angives det hvordan ødelæggelsen af dokumentet skal ske og hvad størrelsen på enkelt dele af dokumentet må være efter makulering. Standarden dækker som nævnt også CD’er, harddiske, SSD-harddiske, film og memory-kort.

De lave niveauer skærer kun papiret i én retning i smalle strimler. Indholdet af dokumenterne kan ikke umiddelbart læses, men kan med lidt besvær genskabes. Faktisk findes der software specielt udviklet til at gendanne dokumenter som er strimmel-makuleret.

I de højere niveauer skæres papiret både lodret og vandret (kaldes krydsmakulering) og et A4 papir findeles på den måde i flere hundrede små stykker. Her er slutproduktet så småt, at det ikke er muligt at gendanne det oprindelige dokument.

Jo højere niveau man anvender, des mere kræves der af maskinen og des længere tid tager det at gennemføre makuleringsprocessen. Har man store mængder papir som skal makuleres i højt niveau, så skal der en kraftig maskine til opgaven og tid til arbejdet.

Mobil makulering

Nogle arbejdspladser benytter mobil makulering, hvor medarbejderne lægger de dokumenter som ønskes destrueret i en aflåst affaldsspand, og her bør plastspande ikke anvendes. Denne affaldsspand bliver med jævne mellemrum afhentet og indholdet i spandene bliver enten makuleret på arbejdspladsen i en særligt indrettet lastbil med en makulator (‘Mobil On-Site’ makulering) eller transporteret til en makuleringscentral, hvor indholdet i spandene bliver makuleret ( ‘Mobil Off-Site’-makulering).

Ordningen er i udgangspunktet ganske okay, men har dog nogle meget alvorlige svagheder.

  • For det første forlader man sig på, at dokumentet er beskyttet, når det ligger i affaldsspanden. Disse spande står ofte afsides uden opsyn, så der er mulighed for at opnå uautoriseret adgang til dokumenterne. Endvidere er spandene oftest blot plastikspande som meget nemt kan åbnes og da alle materialerne er samlet et sted – er det nemt at tilgå store mængder ‘fortroligt’ materiale.

  • For det andet sættes affaldsspandene uden for virksomheden til afhentning/tømning, ofte uden opsyn. Her er der igen mulighed for at opnå uautoriseret adgang til dokumenterne. Hvis man har lidt is i maven kan man blot tage en affaldsspand med fra stedet og se på indholdet et uforstyrret sted.

  • For det tredje skal man have ubetinget tillid til det personale fra makuleringsvirksomheden som åbner affaldsspandene og får adgang til indholdet før det makuleres.

Ovenstående skal tages med i risikovurderingen, når man vælger mellem selv at makulere eller overlade det til andre. Vores anbefaling er helt klart, at man selv investerer i makuleringsmaskiner og makulerer løbende frem for de mobile løsninger.

Anbefaling for GDPR-oplysninger

G4S’ minimumsanbefaling for makulering er en maskine som opfylder DIN 66399 i niveau 3, uanset hvad man måtte ønske at tilintetgøre af informationsbærende medier.

Hvis man benytter ‘Mobil On-Site’-makulering:

  • Affaldsspande skal beskyttes mod uvedkommende indtil indholdet er makuleret. Bekvemmelighed må ikke kompromittere dokumenterne.

  • Afsæt en medarbejder til at overvåge at makuleringen af dokumenterne sker som aftalt.

Lov om forretningshemmeligheder

10. april 2018 blev ‘Lov om forretningshemmeligheder’ vedtaget. Loven definerer hvad forretningshemmeligheder er, og hvad der er af sanktioner. Det er værd at hæfte sig ved, at loven forudsætter, at man “har foretaget rimelige foranstaltninger til hemmeligholdelse af oplysningen”. Ellers kan man ikke påberåbe sig, at en oplysning er en ‘forretningshemmelighed’. Derfor er sikker bortskaffelse enormt vigtig.

Du finder den fulde lovtekst via:
retsinformation.dk/Forms/R0710.aspx?id=200512

De 7 sikkerhedsniveauer for makulering af papir

Download skema

Gå ikke glip af nyeste viden!

Tilmeld dig vores nyhedsbrev og få automatisk besked når vi udgiver ny viden

Ja tak, hold mig opdateret!