Skip to content

Kovalevyjen tuhoaminen tietosuoja-asetuksen mukaisesti

Yrityksien työntekijöiden käsittelemä päivittäinen datamäärä kasvaa kasvamistaan, jonka vuoksi kovalevyjen asianmukainen tuhoaminen on entistä tärkeämpää. Puhuminen, käsinkirjoittaminen ja faxaaminen ovat jääneet taka-alalle ja nykyään tietoa vaihdetaan eniten sähköpostitse, kopioimalla, skannaamalla, sekä välittämällä muuta sähköistä informaatiota edestakaisin erilaisten viestintäohjelmien avulla. Tekniikan kehittyminen on synnyttänyt tilanteen, jossa keräämme ja jaamme tietoja henkilöistä enemmän kuin koskaan. Tämän vuoksi toukokuussa 2018 astui voimaan uusi EU:n tietosuoja-asetus (GDPR).

Uuden GDPR-asetuksen noudattaminen ei ole valinnanvaraista, sillä suojellaan meitä kaikkia väärinkäytöksiltä. GDPR-asetus velvoittaa jokaisen yrityksen, joka käsittelee ihmisten henkilökohtaisia tietoja tai muuta luottamuksellista tietoa, noudattamaan näitä uusia asetuksia huomattavien rahallisten sanktioiden uhalla. GDPR-sakkojen suuruus voi olla jopa 20 miljoonaa euroa tai 4 % yrityksen vuotuisesta globaalista liikevaihdosta, riippuen kumpi on suurempi. Kaikkien, jotka käsittelevät luottamuksellista tietoa, tulee tiedostaa heidän vastuunsa ja ryhtyä toimiin täyttääkseen lainsäädännön edellyttämät velvollisuutensa tietosuoja-asetuksen noudattamista koskien.

Tiedosta riskit

Organisaatiot eivät aina välttämättä tiedosta tietoturvakäytäntönsä ongelmakohtia. Toimitiloissa usein piilottelee yksi hiljainen, mutta sitäkin huomioon otettavampi uhka. Käytöstä poistetut elektroniikkalaitteet kuten tietokoneet, puhelimet, tabletit, sekä useat muut elektroniset laitteet aiheuttavat vakavan tietovuotoriskin, mikäli niitä ei käsitellä asianmukaisesti. Mitä tapahtuu vanhan tietokoneen, kannettavan tai kopiokoneen kiintolevyn tai kovalevyjen sisällölle, kun vanhat laitteistot poistetaan työpaikaltanne? Jokainen valokopio, tulostettavaksi lähetetty asiakirja ja skannaus sähköpostiin tallentuu kopiokoneen, tulostimen, sekä monitoimilaitteen kiintolevylle. Toukokuusta 2018 lähtien tällaisen materiaalin asianmukaisen hallinnan laiminlyönti on GDPR-asetuksen vastaista.

Yrityksien ja organisaatioiden tulisi ottaa huomioon myös toimitiloissa käytettävät verkkotulostimet sekä muut yhteiskäytössä olevat laitteet, jotka ovat suuri tietoturvariski ottaen huomioon, että jopa useat kymmenet henkilöt käyttävät laitteita ja lähettävät niiden kautta tietoa, joka tallentaa laitteen kovalevylle kaikesta materiaalista kopiot. Organisaatiot käsittelevät tällaisten tiedostojen kautta hyvin luottamuksellista ja arkaluontoista aineistoa, esimerkiksi palkka-, terveys- ja henkilötietoja, sekä lukemattomia muita luottamuksellisia tietoja asiakkaista, työntekijöistä, sekä organisaation toiminnasta.

Tiedätkö mistä aloittaa? Saatat ehkä pohtia seuraavia asioita:

  • Onko minulla aikaa tehdä tämä, ennen kuin uusi laite saapuu?
  • Minulla ei ole aavistustakaan siitä mitä kovalevyni sisältää. Onko tämä oikeasti pakollista?
  • Voinko vain deletoida tiedostot itse, vai pitääkö ne tuhota ammattilaismenetelmin?
  • Jos poistan kovalevyn itse, mistä ihmeestä sellainen löytyy, montako niitä on?
  • Laite on rikki eikä käynnisty enää. Miten voin poistaa tiedostot?
  • Jos poistan tiedot itse, miten se tehdään 100% varmuudella ?

Resurssien tai taitojen puute ei vapauta sinua GDPR asetuksen vastuista. GDPR asetus ja oikeuslaitos ei anna erikoisvapautuksia mahdollisesti syntyneiden tietovuotojen takia, mikäli vahinko on aiheutunut sillä perusteella että ei aikaa, tietoa tai taitoa luottamuksellisten tietojen asianmukaiseen poistamiseen. Vahinkotilanteen synnyttyä puolustukseksi ei myöskään riitä selvitys, että luottamuksellisia tietoja ei pitänyt olla.

GDPR-asetuksen mukaisesti organisaatiolla on vastuu suojella ja ennaltaehkäistä mahdollisten tietovuotojen syntymistä. Vahinkotilanteessa GDPR-asetuksen sanktiot ovat yleensä taloudellisesti sitä huomattavammat, mikäli organisaatio on osoittanut välinpitämättömyyttä huolehtia näistä vastuista. GDPR asetus on poikkeuksellinen siinä että rikosoikeudellinen vastuu mahdollisesta välinpitämättömyyden aiheuttamasta vahingosta voidaan ulottaa aina työntekijätasolle asti.

Täyden palvelun ratkaisu

MTB Tietoturvapalvelu huolehtii luotettavasti, vaivattomasti ja kustannustehokkaasti kaikkien luottamuksellisien materiaalien sekä aineistojen tuhouksesta GDPR-asetuksen mukaisesti. Näin se toimii:

  • Noudamme kovalevynne sekä muut luottamukselliset materiaalinne. Asiakkaan tilauksen mukaisesti materiaalien vastaanotosta luodaan siirtoasiakirja. Kuljetamme materiaalit asianmukaisissa keräysvälineissä lukitulla kuorma-autolla suljetulle käsitelylaitoksellemme. Kuljetushenkilökunta on tunnistettavissa MTB:n työasuista ja kuvallisesta henkilökortista.
  • Kuljetuksen saavuttua suljetulle käsittelylaitoksellemme, vastaanotettu materiaali tarkistetaan, punnitaan ja dokumentoidaan.
  • Vastaanotetut laitteistot sekä materiaalit siirretään prosessointiin, jonka jälkeen niistä luodaan tuhousraportti.
  • Tuhoamisprosessi poistaa kaikki luottamukselliset tiedot laitteilta. Prosessi soveltuu irrotettuihin tai irrallisiin kiintolevyihin sekä palvelimiin, työasemiin, kannettaviin tietokoneisiin, kopiokoneisiin, tulostimiin ja monitoimilaitteisiin asennettuihin kiintolevyihin, sekä kaikkiin muihin luottamuksellista tietoa sisältäviin laitteisiin joissa on tallennettua tietoa.