Om nødvendigheden af en politik for dokumentsikkerhed med henblik på overholdelse af GDPR.
Ansvarsfraskrivelse Intet heri bør opfattes som juridisk rådgivning. Organisationer bør søge juridisk rådgivning i forhold til overholdelse af EU's generelle forordning om databeskyttelse og anden gældende lovgivning eller forordninger.
Om dette dokument Denne hvidbog giver dig et overblik over, hvad formålet med GDPR er, og hvilke problemer det kan medføre for organisationer.
Formålet med dette dokument er at give dig en introduktion til EU's generelle forordning om databeskyttelse (GDPR), og hvordan forordningen påvirker forskellige virksomheder, så du kan udvikle en ramme for en politik for dokumentsikkerhed for din egen virksomhed, før bestemmelserne træder i kraft i maj 2018. Hvad er GDPR så? Forordningen kræver, at virksomheder anvender pålidelige sikkerhedspraksisser for elektroniske og papirbaserede data, og at de i tilfælde af brud på datasikkerheden underretter berørte eller potentielt berørte individer. GDPR finder anvendelse i hele verden for alle organisationer, som styrer eller behandler personligt identificerbare oplysninger om personer i EU, uanset organisationernes geografiske placering. Kravene i GDPR gælder både elektroniske og papirbaserede personlige oplysninger, og det betyder, at alle organisationer skal forholde sig til kravene i GDPR, hvis de håndterer personligt identificerbare oplysninger med oprindelse i EU. For mange organisationer er sikring af elektroniske data med rette førsteprioriteten, men der er mange, der ikke i tilstrækkelighed grad forholder sig til sikring af papirbaserede data. Faktisk erkender næsten to ud af tre kontorer, at de ikke makulerer fortrolige oplysninger1. Det skaber en risiko for, at organisationer ikke overholder kravene i GDPR, og dermed at oplysninger kan udnyttes til bedrageri og identitetstyveri. På den baggrund vil Rexel – som er et førende brand inden for makulatorer – gerne opfordre organisationer til at gennemgå deres sikkerhedspolitikker og -praksisser for både papirbaserede og elektroniske data.
DEN GENERELLE FORORDNING OM DATABESKYTTELSE
Et overblik GDPR søger at beskytte enkeltpersoner i Europas ret til beskyttelse af personlige oplysninger, uanset om de er EU-borgere eller ej. Disse rettigheder til beskyttelse af personlige oplysninger inkluderer, men er ikke begrænset til: Gennemsigtighed Retten til at få klare oplysninger om, hvordan organisationer behandler personlige oplysninger. Samtykke Retten til at styre, hvordan organisationer bruger personlige oplysninger. Sikkerhed Retten til at få oplysninger om, hvordan organisationer i tilstrækkeligt omfang beskytter personlige oplysninger. Begrænsning af indsamling og formål Retten til at forvente, at organisationer minimerer deres indsamling og brug af oplysninger. Underretning om brud på sikkerheden Retten til at blive underrettet i tilfælde af et brud på datasikkerheden.
GDPR er en del af Europa-Kommissionens plan for modernisering og harmonisering af databeskyttelsesreglerne. Den vigtigste målsætning for GDPR er at styrke retten til beskyttelse af personlige oplysninger online, men forordningen forholder sig dog til beskyttelse af papirbaserede oplysninger. Den fokuserer på håndteringen af de stadigt større udfordringer i forbindelse med beskyttelse af privatlivets fred og personlige oplysninger, risikoen for sikkerhedsbrud, hacking og andre former for ulovlig behandling.
DEN GENERELLE FORORDNING OM DATABESKYTTELSE
Hvad er blevet ændret? I de følgende punkter identificeres de konkrete områder i GDPR, der er nye rettigheder for enkeltpersoner eller eksisterende rettigheder i henhold til Data Protection Act (DPA, databeskyttelsesloven), som er blevet styrket som en del af GDPR:
Datamobilitet og retten til at blive glemt • En person har nu ret til at flytte sine personlige oplysninger fra én organisation til en anden. • Personlige oplysninger skal angives i et format, som er struktureret og maskinlæsbart.
Fortegnelse • De lokale myndigheder skal ikke længere informeres om, at personlige oplysninger behandles. • Organisationer skal føre en fortegnelse over behandlingsaktiviteter under eget ansvar.
Underretning om brud på datasikkerheden • Alle brud skal rapporteres til tilsynsmyndigheden.
Konsekvensanalyser vedrørende databeskyttelse og sikkerhed • Formålet med konsekvensanalyser vedrørende databeskyttelse er at identificere store risici i forhold til enkeltpersoners ret til beskyttelse af personlige oplysninger.
• Personer, der er berørt af sikkerhedsbruddet, skal ligeledes informeres.
• Sikkerhedskrav og -anbefalinger skal baseres på en risikovurdering.
• En person kan anmode om sletning eller fjernelse af personlige oplysninger.
Datastyring og ansvarlighed • Organisationer skal også være i stand til at påvise overholdelse af GDPR.
Manglende overholdelse af GDPR kan medføre bøder på op til 20 mio. euro eller 4 % af virksomhedens globale omsætning, alt efter hvad der er størst. Derudover har de registrerede ret til at anlægge sag mod en organisation ved en domstol.
DEN GENERELLE FORO ORDNING OM DATABESKYTTELSE
Hvem gælder den for? Indførelsen af GDPR i maj 2018 påvirker følgende roller: Dataansvarlige – de bestemmer, hvordan og hvorfor personlige oplysninger behandles Databehandlere – personer, der handler på vegne af den dataansvarlige Det påhviler disse to roller at sikre, at deres kunder til fulde overholder alle aspekter af GDPR, for at undgå bøder. Databehandleren eller den dataansvarlige kan få behov for at udpege en databeskyttelsesrådgiver og føre fortegnelser over alle behandlingsaktiviteter, som udføres på vegne af kunderne.
GDPR dækker personlige oplysninger og følsomme personlige oplysninger i elektroniske og fysiske formater
Det vigtigt at overveje, hvilke typer oplysninger GDPR gælder for, før du etablerer en overholdelsespolitik for din organisation. Data, der er omfattet af anvendelsesområdet for GDPR, inkluderer alle oplysninger om en identificerbar person. En persons fulde navn, e-mailadresse og telefonnummer er eksempler på personlige oplysninger, der er omfattet af GDPR. GDPR tilfører også yderligere beskyttelse til en underkategori af personlige oplysninger kaldet følsomme personlige oplysninger. GDPR omhandler personlige oplysninger, der håndteres af organisationer i både elektroniske og fysiske formater, såsom papirdokumenter.
De tre komponenter er:
En virksomhedsramme for overholdelse af GDPR Organisationer har tre overordnede områder, der skal gennemgås med henblik på overholdelse af GDPR. Ved at tage fat på disse tre komponenter kan virksomheder konstruere klare rammer for en datasikkerhedspolitik for hvert enkelt aspekt som en hjælp til at opnå fuld overholdelse af GDPR på alle områder.
Personer Det er essentielt, at medarbejderne påtager sig ejerskab og ansvar i forbindelse med alle data, der behandles af dem i organisationen. Organisationen skal fastlægge klare regler for hver enkelt medarbejder for korrekt forvaltning af alle elektroniske og papirbaserede data i virksomheden. Disse bestemmelser iværksætter kravene i GDPR vedrørende håndteringen af alle oplysninger. Du kan for eksempel med fordel indføre klare regler for brugen af papirdokumenter, der indeholder følsomme oplysninger, og processen for korrekt makulering af et dokument, når det ikke længere skal bruges, baseret på følsomhedsniveauet for oplysningerne i dokumentet. Processer Dette vedrører processerne i organisationen. For eksempel administration af brugen af data, såsom behandling eller lagring af oplysninger om kunder. Det er meget vigtigt, at virksomheder gennemgår alle deres nuværende dataprocesser. Når der identificeres huller og svagheder i de eksisterende procedurer, skal virksomheden udvikle en ramme, som sikrer, at disse områder styrkes eller ændres, hvor det er nødvendigt, med henblik på overholdelse af GDPR. Teknologi Nuværende it-kompetencer og -krav skal ligeledes kontrolleres og justeres inden maj 2018. Det er op til den enkelte virksomhed at sikre, at eventuelle eksisterende systemer, der ikke fuldt ud understøtter kravene, enten forbedres eller udskiftes for at undgå potentielle bøder, efter GDPR træder i kraft.
Hvor for er papirsikkerhed vigtig? Efter at have diskuteret kravene til virksomhederne som følge af GDPR er det nu relevant at adressere problemet med papirsikkerheden i organisationer og se på, hvorfor det har stor betydning for virksomheder, når de forbereder sig på at kunne leve op til kravene i GDPR. En PwC-rapport fra 2014 udarbejdet i samarbejde med dokumentstyringsvirksomheden Iron Mountain2, hvor man spurgte de europæiske midtmarkedsvirksomheder, hvordan de opfatter og administrerer deres informationsrisiko, – viste faktisk, at to ud af tre adspurgte svarede, at administration af de risici, der er forbundet med papirdokumenter, var et højt prioriteret problem.
Digitale trusler ligger højt på organisationers dagsorden, men det ville være en fejl at formode, at papirbaserede sikkerhedsrisici er forsvundet.
Papirarbejde er stadig ansvarligt for mange almindelige sikkerhedsbrud Herunder ses nogle af årsagerne til 598 datasikkerhedshændelser registreret mellem juli og september 2016 af den britiske datatilsynsmyndighed ICO (Information Commissioner’s Office): 14 % skyldtes papirarbejde, der blev mistet eller stjålet, 19 % blev sendt via post eller fax til en forkert modtager, og 4 % skyldtes, at oplysninger var blevet opbevaret et ikke-sikret sted. Yderligere 3 % skyldtes ikke-sikret bortskaffelse af papirdokumenter. Så til trods for en eksponentiel stigning inden for digitale teknologier, kunne 40 % af hændelserne tilskrives papir3.
40%
af datasikkerhedshændelser i Storbritannien kunne tilskrives papir Data opbevaret et ikke-sikret sted Data sendt via post/f Data post/fax ax ti till fo fork rker ertt modtager Mist Mi stet et/s /stj tjålet ålet p papi apira ra arb bej ejde de Ikke-sikret bortskaffelse af papirarbejde
Registrerede papirsikkerhedshændelser
Brugersamarbejde er afgørende for overholdelse af GDPR
Disse erfaringer har bragt os til den konklusion, at de to væsentligste forhindringer for effektiv dokumentmakulering i organisationer er:
Hvis vi kan konkludere, at papirsikkerhed fortsat er altafgørende for sikring af oplysninger, så er spørgsmålet: Hvad kan organisationer gøre ved det?
Brugervenlighed Hvis en effektiv politik for makulering af dokumenter skal lykkes, er tilgængeligheden af passende makulatorer et afgørende succeskriterie. Organisationer og kontorer sætter ofte deres lid til ineffektive manuelle makulatorer, som ikke matcher kapaciteterne, så medarbejderne er ude af stand til på en effektiv og produktiv måde at makulere dokumenter.
Rexel er specialiseret i at forsyne organisationer med papirmakulatorer, og med muligheden for at samarbejde direkte med organisationer som Kensington, – verdens førende virksomhed inden for fysisk sikkerhed for it-hardware ved deling af kundeindsigt – har vi fået et værdifuldt indblik i de behov, ønsker og udfordringer, som optager organisationer, der vil beskytte sig selv og overholde GDPR.
Manglende bevidsthed Virksomheder overser vigtigheden af papir i en verden, der i stigende grad digitaliserer arbejdspladsen, og derfor tager de sig ikke dig tid til at løse sikkerhedsproblemerne med papirdokumenter. Selv når der er etableret en politik, vil der ofte være en manglende bevidsthed om problemet, hvis ikke bestemmelserne kommunikeres ud på en effektiv måde og til alle niveauer i virksomheden.
Når forhindringerne for implementering af en effektiv makuleringspolitik er blevet udpeget i organisationen, er næste trin at finde en passende løsning til at tackle disse forhindringer
Brugersamarbejde 1 til overholdelse af GDPR KUN Manglende bevidsthed
Medarbejdere udfører normalt aktiviteter, der fra ledelsens side er tydeligt fremhævet som prioriteter. På den baggrund kan en klar og konkret politik for dokumentmakulering løse mange ineffektivitetsproblemer. I PwC og Iron Mountains undersøgelse fra 2014 af de europæiske midtmarkedsvirksomheder2 bemærkes det, at blot 40 % har en tydelig medarbejdervejledning for intern bortskaffelse og opbevaring af fysiske dokumenter, og at kun 27 % har virksomhedspolitikker for sikkerhed, sikker opbevaring og sikker bortskaffelse af fortrolige oplysninger.
27 % Har virksomhedspolitikker for bortskaffelse af data
Brugersamarbejde 2 til overholdelse af GDPR Brugervenlighed
En anden hyppig årsag til medarbejderes manglende overholdelse i forbindelse med makulering af dokumenter er opgavens besværlighedsgrad og det tidsforbrug, der er forbundet med den. Selvom medarbejdere har adgang til makulatorer, er det ikke alle medarbejdere, der nødvendigvis makulerer dokumenter, som skal makuleres, hvis aktiviteten tager lang tid eller er svær at administrere. Det er ikke overraskende, at ingen organisation vil investere i makulatorer, som medarbejderne sandsynligvis undlader at bruge pga. forhindringer i form af ringe produktivitet eller brugervenlighed, så disse problemer skal løses for at sikre maksimal brug.
Få større medarbejderproduktivitet med automatisk fremføringsteknologi
Konklusion: Makulatorer med automatisk fremføring er et direkte svar på organisationernes behov for at foranledige, at medarbejderne overholder de papirsikkerhedsmæssige forskrifter. Vores undersøgelser4 viser, at 53 % af medarbejdere benytter sig af makulering i mindre portioner, hvor medarbejderne samler en stak med flere dokumenter sammen, før de føler, at der grund til et besøg ved makulatoren.
Makuler i mindre portioner eller alt på en gang
14 min. 25 sek. manuelt
Når medarbejderne får lov til at makulere stakke af papir, viser det sig ifølge en uafhængig undersøgelse, at medarbejderne bruger 98 % mindre tid på at makulere5 og er mere tilbøjelige til at makulere oftere.
Tidsforbrug ved makulering af 500 ark
14 sek. med Rexel Auto+makulatorer
6 væsentlige punkter om GDPR, som bør overvejes 1. Overvej at udpege en databeskyttelsesrådgiver Rådgiveren skal være fuldstændig indforstået med organisationens ansvar i forhold til GDPR og have indgående kendskab til, hvilke oplysninger i organisationen der tæller med som "personlige", hvor de opbevares, hvem der har adgang til dem, hvordan brud på sikkerheden opdages, når det sker, og hvem det skal rapporteres til. Databeskyttelsesrådgiveren behøver ikke at være en medarbejder – denne funktion kan outsources. 2. Analysér dine systemer Gennemgå alle kontrakter, teknologisupport, procedurer og værktøjer, der anvendes i forbindelse med behandling, håndtering, opbevaring og sletning af data, så du bliver i stand til at identificere alle svagheder eller huller, som kræver ændringer.
3. Udarbejd en strategi Etabler en ny strategi, der sikrer fuld overholdelse af GDPR. Strategien kan omfatte investering i ny teknologi, revidering af medarbejderprocedurer og ansvaret for databehandling og oprettelse af nye roller i organisationen. 4. Implementer ny organisationspolitik Det næste skridt mod overholdelse af GDPR er at iværksætte din handlingsplan på alle niveauer i organisationen. Invester i og introducer ny teknologi og nye systemer, som er nødvendige på arbejdspladsen, og offentliggør en informativ vejledning til datahåndtering og -behandling.
5. Medarbejderengagement Introducer den nye dataoverholdelsespolitik for alle medarbejdere, og sørg for, at medarbejderne får de nødvendige kvalifikationer, oplysninger og vejledninger til at være velinformerede og bevidste om de ændringer, der sker, og om deres eget ansvar for at sikre, at virksomheden opfylder kravene i GDPR. 6. Evaluering og forbedring Når du har lanceret din GDPR-plan, er tiden inde til at evaluere og forbedre, inden forordningen træder i kraft. Hvis du identificerer eventuelle nødvendige forbedringer i god tid før fristen i maj 2018, vil din organisation til den tid allerede være fuldt ud tilpasset efter ændringerne og overholde GDPR.
KILDER 1
envirowaste.co.uk/blog/articles/third-companies-shred-private-documents
2
Beyond good intentions: The need to move from intention to action to manage information risk in the mid-market. PwC-rapport udarbejdet i samarbejde med Iron Mountain, juni 2014.
3
ico.org.uk/action-weve-taken/data-security-incident-trends
4
Evaluating Auto Feed Shredders. Udarbejdet til ACCO Brands af Deep Blue Insights
5
Uafhængige test fra Intertek Testing & Certification Ltd, juni 2012. Størst besparelse ved at bruge Auto+ 500X i forhold til en traditionel fremføringsmakulator på lignende prisniveau. Undersøgelser viser, at det gennemsnitligt tager 14 minutter og 25 sekunder manuelt at indsætte 500 ark papir i en traditionel, manuel fremføringsmakulator – men kun 14 sekunder at indsætte det samme antal ark i en Auto+ 500X-makulator.