Lovverk som regulerer rammene for makulering og destruksjon.

Myndighetene stiller strenge krav til håndtering av sensitive opplysninger, uavhengig av hvilke lagringsmedier som befinner seg på enhetene eller dokumentene. Håndtering av destruksjon/sletting er regulert i egen lovgivning, personopplysningsloven, og består av nasjonale regler og EUs personvernforordning (GDPR – Generell databeskyttelses forordning). Forordningen er regler som gjelder for alle EU- og EØS-land.

Bruker dere Sikkerhetsmakulering AS sine tjenester, så kan du være trygg på at alle forhold rundt personvern og GDPR bli ivaretatt. Les mer om personopplysningsloven (GDPR) her.

Lover og forskrifter

Det er flere lover og forskrifter, som i større eller mindre grad, regulerer krav til makulering og destruksjon av sensitivt materiale. Det er en viss forskjell på lovverket innenfor privat- og offentlig sektor. I privat sektor står man friere når det gjelder hvordan man ønsker å behandle sensitiv informasjon, enn hva man har lov til offentlig sektor. Det er imidlertid en felles nevner for begge sektorene, og det er at den enkelte bedrift selv er ansvarlig for at sensitiv informasjon ikke kommer på avveie.

De viktigste lovene med forskrifter er følgende:

• Sikkerhetsloven med forskrifter
• Forvaltningsloven med forskrifter
• Lov om behandling av personopplysninger
• Personvernforordningen (GDPR)

Den mest konkrete loven vi har, med tanke på hvordan vi skal destruere sensitivt materiale, er Sikkerhetsloven. Sikkerhetsmakulering AS har utarbeidet sine prosedyrer med fokus på denne loven. Sikkerhetsloven stiller krav til makulering av sikkerhetsgraderte dokumenter. Spesielt legges det vekt på at papiret kuttes i tilstrekkelig små biter, slik at det ikke vil være mulig å rekonstruere.

Sikkerhetsloven

Nedenfor følger en redegjørelse på hvordan Sikkerhetsmakulering AS forholder seg til Sikkerhetsloven i sitt arbeid.

Sikkerhetsmakulering AS er godkjent for makulering av sensitive dokumenter fra offentlig sektor. Den godkjennelsen gis ikke uten at man vet nærmere hva slags dokumenter det dreier om. Når det er snakk om sensitive dokumenter fra offentlig sektor, så omhandler disse ofte dokumenter som er gradert i henhold til Sikkerhetsloven. Sikkerhetsloven skal beskytte det som kalles skjermingverdige verdier. Herunder hører:

• Informasjon
• Informasjonssystemer
• Infrastruktur
• Objekt

Krav til makulering av sensitive dokumenter iht. Sikkerhetsloven.

Sikkerhetsloven.
Sikkerhetsloven, med tilhørende forskrifter, er den loven som regulerer hvordan sikkerhetsgradert informasjon på dokumenter og lagringsmedier skal behandles.

Private virksomheter er ikke regulert innenfor samme lovverk. Private virksomheter kan selv bestemme hva som er godt nok for deres dokumenter. Det er viktig å se at det er en forskjell her.

Sikkerhetsloven gjelder for statlige, fylkeskommunale og kommunale organer og den gjelder i forbindelse med sikkerhetsgraderte anskaffelser. En sikkerhetsgradert anskaffelse er der hvor en leverandør kan få tilgang til, eller tilvirker sikkerhetsgradert informasjon. Offentlig dokumenter som graderes, graderes fra BEGRENSET, KONFIDENSIELT, HEMMELIG OG TIL STRENGT HEMMELIG. I anskaffelser hvor det er snakk om dokumenter og lagringsmedier som inneholder sikkerhetsgradert informasjon er det slik at material som er gradert BEGRENSET så setter ikke Sikkerhetsloven like strenge krav som til graderingene over. I praksis vil det si at kunden selv bestemmer hvordan dette skal makuleres (størrelse på makuleringen etc.). Når dokumentene er gradert fra KONFIDENSIELT og opp til STRENGT HEMMELIG skal det inngås SIKKERHETSAVTALE mellom partene og gis en LEVERNDØRKLARERING fra klareringsmyndighet. Klareringsmyndighet er i de fleste tilfeller Nasjonal Sikkerhetsmyndighet. Merk deg at det er oppdragsgiver som må be om leverandørklarering av leverandøren.

Sikkerhetsloven med tilhørende forskrifter sier tydelig at virksomhet som skal destruere dokument eller lagringsmedium innholdende skjermingsverdig informasjon må benytte en fremgangsmåte som utelukker mulighet for rekonstruksjon, og dermed forhindre gjenoppretting av tilgang til informasjonen. Det er selve informasjonen som skal beskyttes. Dette betyr i praksis at det ikke en noen krav til størrelse på fragmentene, men at man må sørge for at innholdet ikke kan gjenskapes til sin opprinnelige form.

Hvordan håndterer Sikkerhetsmakulering kravene i Sikkerhetsloven?
For at Sikkerhetsmakulering AS skal innfri kravene til Sikkerhetsloven har vi tatt utgangspunkt i DIN 66399 Standard P-3 (Deutsches Institut für Normung), som er en Europeisk standard for destruksjon.
320mm2 er P3 størrelse, og brukes på konfidensielle dokumenter, bedriftsinterne dokumenter, personopplysninger osv. Dette er den mest brukte størrelsen på papirmakulering.

Oppsummering:

Ved å ha strukturert alle våre prosedyrer  ut fra nevnte lovverk, så har Sikkerhetsmakulering AS en drifts- og produksjonsorganisasjon som tilfredsstiller de pålagte lov- og sikkerhetskrav, uavhengig om kunden er i privat – eller offentlig sektor.