Vilka åtgärder har din organisation vidtagit för att säkerställa att pappersdokument med personliga eller känsliga företagsuppgifter behandlas säkert?
När det gäller personuppgifter är en nyckelprincip i Dataskyddsförordningen (GDPR) att personuppgifter behandlas på ett säkert sätt med hjälp av "lämpliga tekniska och organisatoriska åtgärder" *.
Dokument som innehåller personuppgifter och affärsinformation med högt värde kan skapas inom ett stort antal avdelningar.
Det är enklast att länka skyddet av personlig och känsliga data till datorer och nätverk, men som den svenska Dataskyddsinspektionen (Datainspektionen) förklarade "Ni bör bestämma var i ert företag som ansvaret för dataskyddsfrågor ska ligga. Om det krävs enligt dataskyddsförordningen måste ni även formellt utse ett dataskyddsombud."..
Så vad är de organisatoriska och tekniska åtgärder som behövs för att skydda dina sekretessbelagda handlingar?
I linje med Dataskyddsförordningen:s vägledning har vi sammanställt några tips för att hjälpa din organisation att hantera deponering och hantering av konfidentiella dokument.
1: Är det konfidentiellt? Skapa en kultur av integritet och sekretess
En grundläggande princip i Dataskyddsförordningen (GDPR) handlar om "integritet och sekretess” av personliga och känsliga uppgifter.
Att gå tillbaka och se över grunderna för att öka medvetenheten om de typer av uppgifter som behandlas i din organisation kan vara det första viktiga steget för att säkerställa att alla anställda förstår sitt ansvar när det gäller att skydda personliga och känsliga uppgifter för dina kunder, företaget och varandra.
a). Klassificeras dokument som innehåller personuppgifter för anställda och kunder som konfidentiellt? JA
Enligt Dataskyddsförordningen (GDPR): personuppgifter avses all information om en identifierbar person som direkt eller indirekt kan identifieras med hänvisning till en identifierare.
För mer information om behandling av betalkort och säkerhetsstandarden PCI-DSS, besök webbplatsen för PCI Security Standards Council.
b). Klassificeras dokument som innehåller känslig data som konfidentiell? JA
- Känsliga personuppgifter
Dataskyddsförordningen hänvisar till känsliga personuppgifter som "särskilda kategorier av personuppgifter". Denna speciella datakategori, som innehåller en persons ras, politik och genetik, är känsligare och behöver därför mer skydd.
Organisationens behandling av specialdatakategori måste också uppfylla ett särskilt villkor enligt artikel 9 i Dataskyddsförordningen (GDPR). Läs mer på datainspektionen's webbplats.
- Känslig Företagsdata
Dokument som kan betraktas som kommersiellt känsliga eller kräver ytterligare säkerhetsåtgärder är:
- Information om intellektuellt äganderätt
- Kontorsplaner, kontors-ID, interna handböcker för procedurer
- Kundkontraktsdetaljer och kommersiella handlingar inklusive fakturor
2: Behöver jag skriva ut dokumentet?
Eftersom majoriteten av data nu behandlas elektroniskt (vars säkerhet ska hanteras genom tekniska säkerhetsåtgärder), försvinner många företags säkerhetsproblem med konfidentiella pappersdokument genom att införa en SKRIV INTE UT-regel.
Genom att upprätta en "Skriv inte ut" -regel i organisationen, limitera tillgången av skrivare och kopiator till ett färre antal medarbetare samt utbilda dem att ställa de rätta frågorna innan de skriver ut dokument så minskar risken att personlig data sprids.
- Är detta ett konfidentiellt dokument?
- Innehåller det personlig eller känslig information?
- För vilket ändamål behöver jag en kopia?
- Vad ska jag göra med pappersdokumentet när jag har åtgärdat den tillhörande uppgiften?
Att presentera denna typ av åtgärd eller ett annat alternativ så som "Tydligt skrivbord och skärm" -policy kan tyckas vara radikalt och kan ta tid att implementera in i den dagliga verksamheten, men det kommer att förbättra din datasäkerhet genom att ta bort några av riskerna i samband med pappersdokument, samtidigt som kostnaderna för papper och utskrifter minskas.
3: Säker lagring av konfidentiella pappersdokument
Om utskrift av dokument som innehåller konfidentiella uppgifter är oundviklig på grund av juridisk eller branschspecifik policy och praxis, ska de fysiska dokumenten (så som med elektroniska data och dokument):
"Behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inklusive skydd mot otillåten eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska eller organisatoriska åtgärder".
Tekniska åtgärder i samband med säkerheten av fysiska dokument som innehåller personlig eller känslig information bör vara att se över:
- kvaliteten på dörrar och lås och skyddet av dina lokaler med hjälp av larm, säkerhetsbelysning eller kameraövervakning
- hur du kontrollerar tillträde till dina lokaler och hur besökare övervakas
- säkerställande av icke-offentliga, konfidentiella handlingar
- hur pappersavfall hanteras
Tiden de fysiska dokumenten måste förvaras i dina lokaler varierar beroende på vilken information de innehåller tillsammans med eventuella lagkrav eller branschspecifika policyer.
När det gäller personuppgifter anges dock i artikel 5.1e i Dataskyddsförordningen (GDPR) tydligt principen om "lagringsbegränsning": i den mån det går, ska personuppgifter endast hållas så länge som nödvändigt för att uppfylla syftet med vilka dess data behandlas.
4: Granska er avfallshantering av konfidentiella dokument
När syftet av ett konfidentiellt dokument väl har blivit uppfyllt så blir dokumentet ett konfidentiellt avfall.
Syftet med denna granskning är att säkerställa att alla fysiska konfidentiella dokument i organisationen slängs på lämpligt sätt för att skydda mot obehöriga, olaglig behandling eller spridning av dokument.
Granskningen bör inkludera:
a) Vart konfidentiella dokument skapas.
Slå fast alla områden / avdelningar där fysiska dokument som innehåller personliga och / eller känsliga personuppgifter eller företagsdata kan uppstå.
En karta över affärslokalen kan vara ett användbart men "konfidentiellt" verktyg som hjälper dig. Märk ut enskilda eller gemensamma skrivare och kopiatorer samt befintliga platser för avfall, återvinning och deponering av konfidentiella dokument.
- Finns det några riskområden?
- Finns det någon möjlighet att konfidentiellt avfall lagras eller deponeras på osäkra platser, till exempel i hurtslådor eller fel behållare?
b) Mängden konfidentiella dokument som skapats under en viss period, till exempel om dagen, I veckan och så vidare.
Genom att förstå volymen av konfidentiellt avfall och avfallsfrekvensen kan du se till att lämpliga insamlings- och makuleringsåtgärder finns på plats för att minska riskerna mot datasäkerhet.
- Är nuvarande avfallsbehållare för sekretessbelagda handlingar tillräckligt stora?
- När samlas dokument in för att strimlas/förstöras?
- Tillhandahåller du strimlare på plats som uppfyller de högsta säkerhetsnivåerna för det konfidentiella avfallet du genererar? Se Tips 6.
c) Var och hur konfidentiellt pappersavfall för närvarande samlas in före strimling.:
Dina nuvarande bestämmelser kan uppfylla dina dataskyddskrav på ett tillfredsställande sätt, men det är värt att se över följande:
- Om de befintliga lagringsplatserna är underanvända, kanske är det dags att förbättra personalens medvetenhet och utbildning?
- Kan platsen för behållarna förbättras för att göra dem mer lättillgängliga?
- Är befintliga behållare låsta?
d) Vem har tillgång till ditt konfidentiella avfall när det är deponerat?
När konfidentiella handlingar är deponerade i en säker behållare...
- Vem är ansvarig för att tömma dem och transportera avfallet till strimmaren?
- Vilken utbildning i dataskydd har de fått?
- Vilka säkerhetskontroller följer dem och var lagras nycklarna till de konfidentiella behållarna?
5: Välj rätt papperskorg för konfidentiella dokument
Välj rätt papperskorg för konfidentiella dokument genom att utföra en intern granskning för att se över kvantiteten och kapaciteten på de behållare du behöver. Viktigt nyckelord i alla dina överväganden bör inkludera: Säkerhet:
- Säkerhet
Den viktigaste egenskapen hos en behållare för konfidentiellt avfall är den säkerhetsnivån den ger.
Det är väsentligt att deponera dokumenten separat i en särskild behållare, bort från annat icke.
konfidentiellt papper eller annat avfall samtidigt som de ska förvaras säkert i låsta behållare med anpassad inkastöppning för korrekt deponering.
Vid högriskområden, överväg kompletterande tekniska åtgärder så som att fästa behållarna i marken, på väggen eller placera dem undanskymt i kontorsområden. Detta kan vara en lämplig lösning för mindre behållare.
- Kapacitet
Volymen av konfidentiellt avfall som genereras kan variera från en avdelning till en annan, och tömningsfrekvensen kommer också att påverka den volym som krävs.
Utrymme är en annan faktor att tänka på, eftersom en behållare med högre kapacitet vanligtvis är större.
Därför kan det krävas en samordning av olika konfidentiella avfallsbehållare med olika kapaciteter beroende på volym, tömningsscheman och ledigt utrymme.
- Stil
Behållarens stil kan tyckas vara minst viktigt, men det professionella utseendet på din behållare för konfidentiella dokument kan vara avgörande för att skylta om allvaret av dess hantering inom din organisation och hur det uppfattas av anställda, kunder och besökare.
Genom att inkludera tydlig och igenkännbar grafik så blir dina anställda mer benägna att använda en behållare så som Nexus® 30 , Nexus® 50 eller Nexus® 100 för konfidentiella dokument på rätt sätt.
- Plats
För att uppmuntra korrekt användning bör behållarna placeras lättillgängliga i områden som är markerade för deponering av konfidentiellt avfall.
Det kan många gånger vara bättre att placera dessa typer av behållare avskilt från dina vanliga sopsorteringsbehållare och papperskorgar för att minska risker såsom felaktig deponering och förvirring.
Skapa en sekretesszon och öka medvetenheten med hjälp av affischer och meddelanden, ge anställda tips och hjälpsamma påminnelser. Detta kommer att bidra till att förstärka rutiner som kan vara nya för dem. Datainspektionen har skapat en användbar checklista för företag och organisationer, kolla in listan i sin helhet här.
6: Insamling och strimling av konfidentiella dokument
Allt konfidentiellt avfall måste kasseras, samlas in och förstöras separat från andra icke-konfidentiella dokument eller avfallsfraktioner innan det kan återvinnas.
När innehållet i dina behållare för konfidentiella dokument har samlats in så ska dem förseglas i säkerhetspåsar innan dem strimlas eller samlas in av en avfallsentreprenör.
Konfidentiella dokument måste strimlas i enlighet med den europeiska standarden för pappersavfallssäkerhet DIN 32757. De 6 nivåerna (DIN 1-6) i denna standard anger de minsta tillåtna strimlingsstorlekarna beroende på typen av data på dokumentet.
Tillverkare erbjuder olika lösningar för företag med de rekommenderade säkerhetsnivån för DIN 3 som är minsta nivå för personliga dokument upp till DIN 6 som erbjuder den högsta säkerhetsnivå.
Av dessa skäl kommer många företag att anställa en ansvarsfull avfallsentreprenör för att hantera massförstörelsen av sitt konfidentiella avfall.
När du väljer ett företag att strimla dina dokument, överväg om du vill ha ditt avfall säkert förstört på plats eller om det ska fraktas till annan plats för förstörelse.
Vissa kommersiella avfallsentreprenörer erbjuder också avfallsavhämtning och bortskaffande av sekretesspapper tillsammans med deras andra avfallshanteringstjänster såsom brännbart avfall, matavfall och farligt avfall.
Annars finns företag som endast fokuserar på effektiv insamling, hantering och förstöring av sekretesspapper.
Fördelar med strimling på plats:
- Gör att du kan se hela processen på plats.
- En utbildad och professionell person kommer till din organisation för att hantera processen.
För mer information om Glasdons behållare för sekretesspapper kontakt med en av våra rådgivare redan idag!
Upprinnelse:*https://www.datainspektionen.se/vagledningar/for-dig-som-privatperson/vad-dataskyddsforordningen-innebar-for-dig-som-privatperson/
*https://www.datainspektionen.se/vagledningar/for-dig-som-har-foretag/