Återvinning av IT-utrustning: en nödvändig del av efterlevnaden av GDPR

Företag som hanterar uppgifter om EU-medborgare måste nu följa GDPR. Men om de inte tar hänsyn till slutet av datalivscykeln kan det betyda att de inte uppfyller kraven. Lär dig hur återvinning av IT-utrustning (ITAD) är en nödvändig del av efterlevnaden av GDPR.

Många organisationer som lagrar eller behandlar EU-medborgares personuppgifter fick panik i sista minuten inför tidsfristen för efterlevnad av EU:s allmänna dataskyddsförordning (GDPR) i maj 2018. GDPR-efterlevnaden tvingade företag att erkänna omfattningen av alla sina tillgångar, även de som befinner sig på den andra sidan av deras livscykel: nämligen den IT-utrustning som skulle återvinnas (ITAD).

Att bevisa att företaget uppfyller kraven i GDPR med en formell ITAD-policy är viktigt, men ofta något som förbises. Lyckligtvis kan goda råd göra det lättare att ta fram en ITAD-policy.

GDPR, ITAD och en fortsatt risk för dataintrång

GDPR har infört de utökade rollerna datauppgiftsansvarig (DC) och datauppgiftsbiträde (PD). När det gäller återvinning av IT-utrustning omfattas användningen av outsourcade ITAD-leverantörer nu av GDPR-kraven för personuppgiftsbiträden (liksom eventuella tredjepartsunderbiträden som de kan använda sig av).

Ett relaterat område som fortfarande är högst aktuellt för IT-chefer är, enligt Brooks Hoffman, chef för Data Managment på Iron Mountain, att undvika ett potentiellt dataintrång av EU-medborgares personuppgifter.

"IDTA är fortfarande lite av Vilda västern. Det finns företag som inte gör allt på rätt sätt. Det är lätt att ta genvägar istället. Men om du gör det, "säger han varnande, "kan det slå tillbaka på dig. Det kan till och med leda till dataintrång."

Mota Olle i grind: Var tydlig med skyddsåtgärderna vid återvinning av IT-utrustning (ITAD)

För ITAD kan sådana personuppgifter om EU-medborgare finnas på en eller flera utrangerade datorer, servrar eller hårddiskar. Här är det absolut nödvändigt att både ha en formell ITAD-policy som fastställs av den personuppgiftsansvarige och ett formellt avtal mellan den personuppgiftsansvarige och varje ITAD-leverantör eller personuppgiftsbiträde.

Sådana formella policy- och kontraktsdokument bör beskriva hur personuppgifter kommer att identifieras och hur de kommer att tas bort på ett säkert sätt från utrangerade IT-tillgångar som är öronmärkta för återvinning eller återförsäljning. Lämpliga roller och förfaranden enligt spårbarhetsstandarden vid återvinning av tillgångar bör vara tydligt angivna.

Det är också nödvändigt att formellt definiera förfaranden för anmälan av dataintrång som ska följas tillsammans med den personuppgiftsansvarige och personuppgiftsbiträdet. Personuppgiftsbiträdets planer för att förhindra en överträdelse bör dokumenteras formellt och skriftligen, liksom alla processer efter en överträdelse och personuppgiftsbiträdets ekonomiska åtagande för att åtgärda överträdelsen.

"Om du planerar att använda en extern ITAD-partner är det en sak om de säger: 'Vi kommer att meddela om dataintrång inom 72 timmar och ta hand om all kreditövervakning efter ett dataintrång'", säger Hoffman. "Men du måste också se till att leverantören finansiellt hanterar alla särskilda krav på anmälan av överträdelser och uppföljning."

Han säger att det lönar sig att se till att ITAD-leverantören har god kapitaltäckning, är välrenommerad och branschcertifierad av en ackrediterad tredje part. I händelse av ett potentiellt dataintrång, säger Hoffman, är det klokt att titta särskilt efter leverantörer som har tillräckligt täckning på försäkringen vid fel och försummelse eller cyberförsäkring.

Det finns också andra önskvärda egenskaper som man bör ha i åtanke när man utvärderar ITAD-leverantörer och definierar företagets ITAD-policy. Den här artikeln tar upp frågorna du behöver ställa till dem. Intressant nog kan ett frågeformulär för personuppgiftsbiträden som satts ihop på Kanalöarna bidra till att skapa fler policyområden för att utvärdera leverantörer eller formalisera en ITAD-policy och kontraktsdokument i enlighet med GDPR.

Varför ska du formalisera din policy för återvinning av IT-utrustning (ITAD)?

Det är god affärssed att formalisera bästa praxis och politik för korrekt lagring, hantering och radering av personuppgifter. Men det är också sant att de hårda potentiella påföljderna för bristande efterlevnad av GDPR nu gör att formaliseringen av denna goda praxis är mer en "piska" (för att tvinga fram efterlevnad) än en "morot" som uppmuntrar.

Dataskyddsförordningen är egentligen en utveckling av den globala trenden mot dataskydd. Det som gör den till en viktig förändring är att den ger enskilda personer starka rättigheter att välja bort att deras uppgifter ska spåras och lagras av företag. Det ökar kraven, och böterna för bristande efterlevnad är astronomiska", säger Hoffman. "Detta gör det viktigare än någonsin att ha en formaliserad, övergripande ITAD-policy - särskilt i större företag där varje kontor annars kanske gör saker och ting lite olika. Om 75 % av företaget gör ITAD på rätt sätt, innebär det att 25 % gör det på fel sätt. Och det är ett problem."