Flest fyrirtæki og stofnanir starfa eftir sömu hugmyndafræði þegar kemur að gögnum; safna öllu, geyma allt og eyða aldrei neinu. Rökin eru kunnugleg , að fyrirtæki telja sig þurfa að nota gögnin seinna, það kostar lítið að geyma þau og enginn fær á sig skömm fyrir að hafa of mikið af gögnum. En þessi hugmyndafræði er úrelt og hættuleg og heimurinn er að vakna. Ég hélt fyrirlestur á hádegisfundi Ský á dögunum þar sem ég rökstuddi einfalda fullyrðingu: Gagnaeyðing er ekki gagnatap — hún er öryggisaðgerð. Gögn sem fyrirtæki geymir ekki geta ekki lekið, verið læst aðgengi að, eða verið beitt gegn fyrirtækinu. Þetta hljómar einfalt, en það breytir öllu hvernig við hugsum um gagnaöryggi ef við tökum þetta alvarlega. Vandinn sem enginn talar um Þegar við tölum um gagnaöryggi er umræðan yfirleitt um varnir — dulkóðun, aðgangsstýringu, afritun og jafnvel eldveggi. En vandinn liggur dýpra. Hvert gagnasafn sem fyrirtæki geymir getur orðið skotmark öryggisárásar og leitt til dómsmáls eða sektar vegna brots á friðhelgi einstaklinga. Það er verið að vopnvæða gögn í dag og fjöldi dæma er bæði hér heima og erlendis sem tengjast þessu og í mörgum tilfellum eru afleiðingarnar skelfilegar. Clearview AI safnaði 30 milljörðum andlitsmynda af opnum vefsvæðum og greindi okkur flest. Lögreglan í Bandaríkjunum keypti staðsetningargögn borgara frá gagnamiðlurum til að komast hjá dómsúrskurði. Ísland keypti fjárhagsgögn af hakkara til að rukka skatt sem dæmi. Þetta er ekki einstakt fyrirbrigði heldur kerfislægt vandamál. Við búum í litlu samfélagi þar sem gagnaleki hefur meiri áhrif en annars staðar. Flestir þekkja hvern annan og þegar persónuupplýsingar leka er skaðinn persónulegur á annan hátt en í landi með 300 milljónir íbúa. GDPR og 5. grein reglugerðarinnar krefjast réttmætrar geymslu — þú átt aðeins að geyma gögn sem þú hefur skráða ástæðu fyrir. En framkvæmdin er oft veik. Of mörg fyrirtæki á Íslandi geyma gögn „til öryggis" án tilgangs, án tímamarka og án þess að nokkur beri ábyrgð á þeim. Geymsla á gömlum gögnum getur talist vinnsla á þeim, sem getur skapað lagalegar skyldur, jafnvel fyrir gögn sem enginn er lengur að nota eða þarf. Þrjár spurningar sem allir ættu að spyrja Áður en fyrirtæki velja að geyma gagnasöfn ættu þau að svara þremur spurningum: Í fyrsta lagi, tilgangur: Er skráð og virk ástæða til að geyma þessi gögn? Ef engin ástæða er til staðar er geymslan ólögmæt samkvæmt GDPR. Í öðru lagi, tímamörk: Er skilgreind lokadagsetning eða hvenær þeim er eytt? Gögn án tímatakmarkana safnast upp og verða að áhættu sem enginn ber ábyrgð á. Í þriðja lagi, áhætta: Ef þessum gögnum er lekið eða þeim læst á morgun — hversu slæmt er það? Hvert gagnasafn getur orðið skotmark öryggisárásar. Ef forsvarsmenn fyrirtækja geta ekki svarað þessum spurningum um eitthvert gagnasafn sem þau geyma, þá hafa þeir fundið vandamál sem þarf að leysa. Tvö skref duga til að byrja með. Fyrst er það gagnaendurskoðun þar sem þarf að gera skrá yfir gögn sem verið er að geyma og hvers vegna. Ef ekki er hægt að nefna tilgang, þá er vandamálið augljóst. Síðan er það geymslustefna með vígtennur þar sem búa þarf til sjálfvirkt eyðingarferli í kerfum fyrirtækisins. Ekki bara handvirkt verklag sem safnar ryki upp í hillu. Sjálfvirk eyðing eftir skilgreindum geymslutíma er bæði öruggari og ódýrari en að geyma allt til eilífðar. Gamli hugsunarhátturinn er dauður Gamli hugsunarháttarinn var: „Geymdu allt, þú gætir þurft á því að halda." Nýi veruleikinn er hins vegar öfugur. Hvert gagnasafn sem fyrirtæki velur að geyma er áhætta sem það velur að bera. Fyrirtæki sem taka gagnaeyðingu alvarlega sem öryggisaðgerð í dag eru betur sett þegar atvik kemur upp. Eyðing er ekki gagnatap. Hún er áhættustjórnun. Höfundur er öryggisstjóri OK og meðlimur í faghóp Ský um öryggismál.