På oppdrag fra Ibas og Norsk senter for informasjonssikring (NorSIS), har YouGov kartlagt norske kommuners rutiner for datasletting. Datasletting reguleres av personopplysningsloven, retningslinjer gitt av Nasjonal sikkerhetsmyndighet (NSM) og av Helsedirektoratets Norm for informasjonssikkerhet som bygger på lovverket.
Lovverket og retningslinjene stiller krav om at informasjon skal behandles «fra vugge til grav». Kommunene er følgelig pålagt å sørge for at data i utrangert utstyr slettes permanent. De er også pålagt å dokumentere at data er slettet på alt utstyr de avhenger.
Det er ikke registrert innsigelser mot dette: Alle har de riktige holdningene.
Praksis står ikke alltid i stil til holdningene.
Undersøkelsen påviser at 26 prosent av kommunene ikke har rutiner for datasletting.
51 prosent av kommunene sletter data uten dokumentasjon.
Av kommunene som har rutiner for datasletting, er det bare én av tre der rutinene tilfredsstiller den offisielle norske normen for informasjonssikkerhet.
Kravet i lovverket er at data skal slettes slik at det ikke skal være mulig å gjenopprette dem. Det finnes flere framgangsmåter som tilfredsstiller dette kravet, blant annet degausser (se artikkelen Disk-morderens drømmemaskin). Undersøkelsen viser at helt andre metoder er kurante når norske kommuner skal fysisk destruere lagringsmedier med sensitive data:
- De graves ned eller sprenges å byggeplasser
- De kjøres over av tunge anleggsmaskiner
- De graves ned på kirkegårder
- De gjennombores med drill
- De slås sønder med slegge
- De brukes som blink og skytes på med håndvåpen
– Kravene til hvordan data fra Helsenettet skal slettes, er krystallklare. Når fortsatt 51 prosent av de tilknyttede kommunene ikke følger opp disse kravene må man stille seg spørsmål om hvem som skal kontrollere kravene i normen. Hvis slike data kommer på avveier vil det være katastrofalt for dem som rammes, og for kommunens omdømme, sier Tore Larsen Orderløkken, administrerende direktør i NorSIS.
– Myndighetene må lage en overordnet veiledning til alle forskrifter og lover som omhandler sletting av sensitiv informasjon. En slik veileder bør konkretisere hvilke metoder som er sertifiserte, både nasjonalt og internasjonalt. Videre bør det stilles krav til at sertifisert sletting skal dokumenteres. En ny overordnet veileder kan bygge på kravene nedfelt i Normen for Informasjonssikkerhet i helsesektoren. Først da vil innbyggerne i kommunene vite at deres informasjonssikkerhet er ivaretatt, sier Hans Berg, administrerende direktør i Ibas.