Rexel-makulering. Grundlaget for nødvendigheden af en politik for dokumentsikkerhed med henblik på overholdelse af GDPR.

Transkript

1 Rexel-makulering Grundlaget for nødvendigheden af en politik for dokumentsikkerhed med henblik på overholdelse af GDPR. Ansvarsfraskrivelse Intet heri bør opfattes som juridisk rådgivning. Organisationer bør søge juridisk rådgivning i forhold til overholdelse af EU's generelle forordning om databeskyttelse og anden gældende lovgivning eller forordninger. Lavet til

2 Om dette dokument Denne hvidbog giver dig et overblik over, hvad formålet med GDPR er, og hvilke problemer det kan medføre for organisationer. Formålet med dette dokument er at give dig en introduktion til EU's generelle forordning om databeskyttelse (GDPR), og hvordan forordningen påvirker forskellige virksomheder, så du kan udvikle en ramme for en politik for dokumentsikkerhed for din egen virksomhed, før bestemmelserne træder i kraft i maj Hvad er GDPR så? Forordningen kræver, at virksomheder anvender pålidelige sikkerhedspraksisser for elektroniske og papirbaserede data, og at de i tilfælde af brud på datasikkerheden underretter berørte eller potentielt berørte individer. GDPR finder anvendelse i hele verden for alle organisationer, som styrer eller behandler personligt identificerbare oplysninger om personer i EU, uanset organisationernes geografiske placering. Kravene i GDPR gælder både elektroniske og papirbaserede personlige oplysninger, og det betyder, at alle organisationer skal forholde sig til kravene i GDPR, hvis de håndterer personligt identificerbare oplysninger med oprindelse i EU. For mange organisationer er sikring af elektroniske data med rette førsteprioriteten, men der er mange, der ikke i tilstrækkelighed grad forholder sig til sikring af papirbaserede data. Faktisk erkender næsten to ud af tre kontorer, at de ikke makulerer fortrolige oplysninger 1. Det skaber en risiko for, at organisationer ikke overholder kravene i GDPR, og dermed at oplysninger kan udnyttes til bedrageri og identitetstyveri. På den baggrund vil Rexel som er et førende brand inden for makulatorer gerne opfordre organisationer til at gennemgå deres sikkerhedspolitikker og -praksisser for både papirbaserede og elektroniske data.

3 DEN GENERELLE FORORDNING OM DATABESKYTTELSE Et overblik GDPR søger at beskytte enkeltpersoner i Europas ret til beskyttelse af personlige oplysninger, uanset om de er EU-borgere eller ej. Disse rettigheder til beskyttelse af personlige oplysninger inkluderer, men er ikke begrænset til: Gennemsigtighed Retten til at få klare oplysninger om, hvordan organisationer behandler personlige oplysninger. Samtykke Retten til at styre, hvordan organisationer bruger personlige oplysninger. Sikkerhed Retten til at få oplysninger om, hvordan organisationer i tilstrækkeligt omfang beskytter personlige oplysninger. Begrænsning af indsamling og formål Retten til at forvente, at organisationer minimerer deres indsamling og brug af oplysninger. GDPR er en del af Europa-Kommissionens plan for modernisering og harmonisering af databeskyttelsesreglerne. Den vigtigste målsætning for GDPR er at styrke retten til beskyttelse af personlige oplysninger online, men forordningen forholder sig dog til beskyttelse af papirbaserede oplysninger. Den fokuserer på håndteringen af de stadigt større udfordringer i forbindelse med beskyttelse af privatlivets fred og personlige oplysninger, risikoen for sikkerhedsbrud, hacking og andre former for ulovlig behandling. Underretning om brud på sikkerheden Retten til at blive underrettet i tilfælde af et brud på datasikkerheden.

4 DEN GENERELLE FORORDNING OM DATABESKYTTELSE Hvad er blevet ændret? I de følgende punkter identificeres de konkrete områder i GDPR, der er nye rettigheder for enkeltpersoner eller eksisterende rettigheder i henhold til Data Protection Act (DPA, databeskyttelsesloven), som er blevet styrket som en del af GDPR: Datamobilitet og retten til at blive glemt En person har nu ret til at flytte sine personlige oplysninger fra én organisation til en anden. Personlige oplysninger skal angives i et format, som er struktureret og maskinlæsbart. En person kan anmode om sletning eller fjernelse af personlige oplysninger. Underretning om brud på datasikkerheden Alle brud skal rapporteres til tilsynsmyndigheden. Personer, der er berørt af sikkerhedsbruddet, skal ligeledes informeres. Fortegnelse De lokale myndigheder skal ikke længere informeres om, at personlige oplysninger behandles. Organisationer skal føre en fortegnelse over behandlingsaktiviteter under eget ansvar. Konsekvensanalyser vedrørende databeskyttelse og sikkerhed Formålet med konsekvensanalyser vedrørende databeskyttelse er at identificere store risici i forhold til enkeltpersoners ret til beskyttelse af personlige oplysninger. Sikkerhedskrav og -anbefalinger skal baseres på en risikovurdering. Datastyring og ansvarlighed Organisationer skal også være i stand til at påvise overholdelse af GDPR. Manglende overholdelse af GDPR kan medføre bøder på op til 20 mio. euro eller 4 % af virksomhedens globale omsætning, alt efter hvad der er størst. Derudover har de registrerede ret til at anlægge sag mod en organisation ved en domstol.

5 DEN GENERELLE FORORDNING OM DATABESKYTTELSE Hvem gælder den for? Indførelsen af GDPR i maj 2018 påvirker følgende roller: Dataansvarlige de bestemmer, hvordan og hvorfor personlige oplysninger behandles Databehandlere personer, der handler på vegne af den dataansvarlige Det påhviler disse to roller at sikre, at deres kunder til fulde overholder alle aspekter af GDPR, for at undgå bøder. Databehandleren eller den dataansvarlige kan få behov for at udpege en databeskyttelsesrådgiver og føre fortegnelser over alle behandlingsaktiviteter, som udføres på vegne af kunderne.

6 GDPR dækker personlige oplysninger og følsomme personlige Det vigtigt at overveje, hvilke typer oplysninger GDPR gælder for, før du etablerer en overholdelsespolitik for din organisation. Data, der er omfattet af anvendelsesområdet for GDPR, inkluderer alle oplysninger om en identificerbar person. En persons fulde navn, adresse og telefonnummer er eksempler på personlige oplysninger, der er omfattet af GDPR. GDPR tilfører også yderligere beskyttelse til en underkategori af personlige oplysninger kaldet følsomme personlige oplysninger. GDPR omhandler personlige oplysninger, der håndteres af organisationer i både elektroniske og fysiske formater, såsom papirdokumenter. oplysninger i elektroniske og fysiske formater

7 De tre komponenter er: En virksomhedsramme for overholdelse af GDPR Organisationer har tre overordnede områder, der skal gennemgås med henblik på overholdelse af GDPR. Ved at tage fat på disse tre komponenter kan virksomheder konstruere klare rammer for en datasikkerhedspolitik for hvert enkelt aspekt som en hjælp til at opnå fuld overholdelse af GDPR på alle områder. Personer Det er essentielt, at medarbejderne påtager sig ejerskab og ansvar i forbindelse med alle data, der behandles af dem i organisationen. Organisationen skal fastlægge klare regler for hver enkelt medarbejder for korrekt forvaltning af alle elektroniske og papirbaserede data i virksomheden. Disse bestemmelser iværksætter kravene i GDPR vedrørende håndteringen af alle oplysninger. Du kan for eksempel med fordel indføre klare regler for brugen af papirdokumenter, der indeholder følsomme oplysninger, og processen for korrekt makulering af et dokument, når det ikke længere skal bruges, baseret på følsomhedsniveauet for oplysningerne i dokumentet. Processer Dette vedrører processerne i organisationen. For eksempel administration af brugen af data, såsom behandling eller lagring af oplysninger om kunder. Det er meget vigtigt, at virksomheder gennemgår alle deres nuværende dataprocesser. Når der identificeres huller og svagheder i de eksisterende procedurer, skal virksomheden udvikle en ramme, som sikrer, at disse områder styrkes eller ændres, hvor det er nødvendigt, med henblik på overholdelse af GDPR. Teknologi Nuværende it-kompetencer og -krav skal ligeledes kontrolleres og justeres inden maj Det er op til den enkelte virksomhed at sikre, at eventuelle eksisterende systemer, der ikke fuldt ud understøtter kravene, enten forbedres eller udskiftes for at undgå potentielle bøder, efter GDPR træder i kraft.

8 Hvor for er papirsikkerhed vigtig? Efter at have diskuteret kravene til virksomhederne som følge af GDPR er det nu relevant at adressere problemet med papirsikkerheden i organisationer og se på, hvorfor det har stor betydning for virksomheder, når de forbereder sig på at kunne leve op til kravene i GDPR. Digitale trusler ligger højt på organisationers dagsorden, men det ville være en fejl at formode, at papirbaserede sikkerhedsrisici er forsvundet. En PwC-rapport fra 2014 udarbejdet i samarbejde med dokumentstyringsvirksomheden Iron Mountain 2, hvor man spurgte de europæiske midtmarkedsvirksomheder, hvordan de opfatter og administrerer deres informationsrisiko, viste faktisk, at to ud af tre adspurgte svarede, at administration af de risici, der er forbundet med papirdokumenter, var et højt prioriteret problem.

9 Papirarbejde er stadig ansvarligt for mange almindelige sikkerhedsbrud Herunder ses nogle af årsagerne til 598 datasikkerhedshændelser registreret mellem juli og september 2016 af den britiske datatilsynsmyndighed ICO (Information Commissioner s Office): 14 % skyldtes papirarbejde, der blev mistet eller stjålet, 19 % blev sendt via post eller fax til en forkert modtager, og 4 % skyldtes, at oplysninger var blevet opbevaret et ikke-sikret sted. Yderligere 3 % skyldtes ikke-sikret bortskaffelse af papirdokumenter. Så til trods for en eksponentiel stigning inden for digitale teknologier, kunne 40 % af hændelserne tilskrives papir 3. 40%af datasikkerhedshændelser i Storbritannien kunne tilskrives papir Data opbevaret et ikke-sikret sted Data sendt via post/fax til forkert modtager Mistet/stjålet papirarbejde Ikke-sikret bortskaffelse af papirarbejde Registrerede papirsikkerhedshændelser

10 Brugersamarbejde er afgørende for overholdelse af GDPR Hvis vi kan konkludere, at papirsikkerhed fortsat er altafgørende for sikring af oplysninger, så er spørgsmålet: Hvad kan organisationer gøre ved det? Rexel er specialiseret i at forsyne organisationer med papirmakulatorer, og med muligheden for at samarbejde direkte med organisationer som Kensington, verdens førende virksomhed inden for fysisk sikkerhed for it-hardware ved deling af kundeindsigt har vi fået et værdifuldt indblik i de behov, ønsker og udfordringer, som optager organisationer, der vil beskytte sig selv og overholde GDPR. Disse erfaringer har bragt os til den konklusion, at de to væsentligste forhindringer for effektiv dokumentmakulering i organisationer er: Manglende bevidsthed Virksomheder overser vigtigheden af papir i en verden, der i stigende grad digitaliserer arbejdspladsen, og derfor tager de sig ikke dig tid til at løse sikkerhedsproblemerne med papirdokumenter. Selv når der er etableret en politik, vil der ofte være en manglende bevidsthed om problemet, hvis ikke bestemmelserne kommunikeres ud på en effektiv måde og til alle niveauer i virksomheden. Brugervenlighed Hvis en effektiv politik for makulering af dokumenter skal lykkes, er tilgængeligheden af passende makulatorer et afgørende succeskriterie. Organisationer og kontorer sætter ofte deres lid til ineffektive manuelle makulatorer, som ikke matcher kapaciteterne, så medarbejderne er ude af stand til på en effektiv og produktiv måde at makulere dokumenter. Når forhindringerne for implementering af en effektiv makuleringspolitik er blevet udpeget i organisationen, er næste trin at finde en passende løsning til at tackle disse forhindringer

11 Brugersamarbejde 1 til overholdelse af GDPR Manglende bevidsthed KUN 27 % Medarbejdere udfører normalt aktiviteter, der fra ledelsens side er tydeligt fremhævet som prioriteter. På den baggrund kan en klar og konkret politik for dokumentmakulering løse mange ineffektivitetsproblemer. I PwC og Iron Mountains undersøgelse fra 2014 af de europæiske midtmarkedsvirksomheder 2 bemærkes det, at blot 40 % har en tydelig medarbejdervejledning for intern bortskaffelse og opbevaring af fysiske dokumenter, og at kun 27 % har virksomhedspolitikker for sikkerhed, sikker opbevaring og sikker bortskaffelse af fortrolige oplysninger. Har virksomhedspolitikker for bortskaffelse af data

12 Brugersamarbejde 2 til overholdelse af GDPR Brugervenlighed En anden hyppig årsag til medarbejderes manglende overholdelse i forbindelse med makulering af dokumenter er opgavens besværlighedsgrad og det tidsforbrug, der er forbundet med den. Selvom medarbejdere har adgang til makulatorer, er det ikke alle medarbejdere, der nødvendigvis makulerer dokumenter, som skal makuleres, hvis aktiviteten tager lang tid eller er svær at administrere. Det er ikke overraskende, at ingen organisation vil investere i makulatorer, som medarbejderne sandsynligvis undlader at bruge pga. forhindringer i form af ringe produktivitet eller brugervenlighed, så disse problemer skal løses for at sikre maksimal brug. Få større medarbejderproduktivitet med automatisk fremføringsteknologi

13 Konklusion: Makulatorer med automatisk fremføring er et direkte svar på organisationernes behov for at foranledige, at medarbejderne overholder de papirsikkerhedsmæssige forskrifter. Vores undersøgelser 4 viser, at 53 % af medarbejdere benytter sig af makulering i mindre portioner, hvor medarbejderne samler en stak med flere dokumenter sammen, før de føler, at der grund til et besøg ved makulatoren. Når medarbejderne får lov til at makulere stakke af papir, viser det sig ifølge en uafhængig undersøgelse, at medarbejderne bruger 98 % mindre tid på at makulere 5 og er mere tilbøjelige til at makulere oftere. Makuler i mindre portioner eller alt på en gang 14 min. 25 sek. manuelt Tidsforbrug ved makulering af 500 ark 14 sek. med Rexel Auto+makulatorer

14 6 væsentlige punkter om GDPR, som bør overvejes 1. Overvej at udpege en databeskyttelsesrådgiver Rådgiveren skal være fuldstændig indforstået med organisationens ansvar i forhold til GDPR og have indgående kendskab til, hvilke oplysninger i organisationen der tæller med som "personlige", hvor de opbevares, hvem der har adgang til dem, hvordan brud på sikkerheden opdages, når det sker, og hvem det skal rapporteres til. Databeskyttelsesrådgiveren behøver ikke at være en medarbejder denne funktion kan outsources. 2. Analysér dine systemer Gennemgå alle kontrakter, teknologisupport, procedurer og værktøjer, der anvendes i forbindelse med behandling, håndtering, opbevaring og sletning af data, så du bliver i stand til at identificere alle svagheder eller huller, som kræver ændringer. 3. Udarbejd en strategi Etabler en ny strategi, der sikrer fuld overholdelse af GDPR. Strategien kan omfatte investering i ny teknologi, revidering af medarbejderprocedurer og ansvaret for databehandling og oprettelse af nye roller i organisationen. 4. Implementer ny organisationspolitik Det næste skridt mod overholdelse af GDPR er at iværksætte din handlingsplan på alle niveauer i organisationen. Invester i og introducer ny teknologi og nye systemer, som er nødvendige på arbejdspladsen, og offentliggør en informativ vejledning til datahåndtering og -behandling. 5. Medarbejderengagement Introducer den nye dataoverholdelsespolitik for alle medarbejdere, og sørg for, at medarbejderne får de nødvendige kvalifikationer, oplysninger og vejledninger til at være velinformerede og bevidste om de ændringer, der sker, og om deres eget ansvar for at sikre, at virksomheden opfylder kravene i GDPR. 6. Evaluering og forbedring Når du har lanceret din GDPR-plan, er tiden inde til at evaluere og forbedre, inden forordningen træder i kraft. Hvis du identificerer eventuelle nødvendige forbedringer i god tid før fristen i maj 2018, vil din organisation til den tid allerede være fuldt ud tilpasset efter ændringerne og overholde GDPR.

15 KILDER 1 envirowaste.co.uk/blog/articles/third-companies-shred-private-documents 2 Beyond good intentions: The need to move from intention to action to manage information risk in the mid-market. PwC-rapport udarbejdet i samarbejde med Iron Mountain, juni ico.org.uk/action-weve-taken/data-security-incident-trends 4 Evaluating Auto Feed Shredders. Udarbejdet til ACCO Brands af Deep Blue Insights 5 Uafhængige test fra Intertek Testing & Certification Ltd, juni Størst besparelse ved at bruge Auto+ 500X i forhold til en traditionel fremføringsmakulator på lignende prisniveau. Undersøgelser viser, at det gennemsnitligt tager 14 minutter og 25 sekunder manuelt at indsætte 500 ark papir i en traditionel, manuel fremføringsmakulator men kun 14 sekunder at indsætte det samme antal ark i en Auto+ 500X-makulator.