Undgå at havne i samme situation som blandt andet 4 x 35 – få styr på sletning af personoplysninger?
Det har aldrig været mere aktuelt at den slettepolitik, man har fastsat, lever op til myndighedernes krav, og at den også bliver overholdt internt i virksomheden. Det er ikke langt tid siden at først 4 x 35 og siden IDDesign er blevet indstillet til en bøder i millionklassen af Datatilsynet. Væsentligsted årsager er at Datatilsynet mener at virksomhederne blandt andet har overskredet grænsen for hvor længe nogle datatyper blev gemt. Begge selskaber er samtidigt blevet politi anmeldt.
Derfor skal sletning af data tages alvorligt.
Sletning er ikke bare sletning
Når man sletter personoplysninger i et system, så sikrer man, at oplysningerne ikke længere er tilgængelige. Men der er forskel på, hvordan de slettes. Hvis sletningen f.eks. kan tilgås af systemets administrator, så taler vi ikke om en reel sletning. Men hvis oplysningerne reelt set er slettet via operativsystemet, og på disken venter på at blive over skrevet med andre data, så er der tale om sletning, da oplysningerne ikke længere med rimelige midler, er tilgængelig.
Hvis man har brugt harddiske og USB som lagring til personoplysninger, så er det vigtigt, at oplysningerne, når de skal slettes, bortskaffes forsvarligt, så andre ikke kan få fingrene i de personoplysninger, der ligger på.
Der er frist på hvor længe man må opbevare personoplysninger, hvilket betyder, at når personlysningerne ikke længere er nødvendige, skal de som udgangspunkt slettes eller anonymiseres.
Det er den dataansvarlige selv, der – på baggrund af formålene med de behandlinger af persondataoplysningerne, der foretages – skal vurdere, hvornår personoplysningerne skal slettes. Derfor er det vigtigt, at de sætter sig ind i, hvad proceduren er. Det er forskelligt fra sag til sag, hvordan oplysningerne skal slettes, og hvor længe de må opbevares.
Som dataansvarlig skal man tage stilling til, hvilke procedurer, der skal følges, når persondataoplysninger skal slettes fra deres behandlingssystemer. Når man sletter persondata, bør man tage udgangspunkt i et flow, der følges fra det tidspunkt hvor en oplysning når sin slettefrist til sletningen er foretaget og systemet har bekræftet det.
Det er vigtigt, at man følger op på sletningerne, og ikke blot stoler på, at hele sletningsproceduren kører fejlfrit. Den dataansvarlige må derfor implementere en procedure for opfølgning af sletning. Når man følger op på sletningerne, giver det den dataansvarlige en vished om, at sletteprocedurerne virker, og at man som dataansvarlig overholder reglerne.
HVORNÅR SKAL DE SLETTES?
Der er ikke skrevet en facitliste, som man kan slå op i. I hver virksomhed må man lave en afvejning af de enkelte typer af data, der opbevares i forbindelse med de enkelte processer og kategorier af persondata. Der er en del processer, som behandles i langt de fleste virksomheder, men enkelte virksomheder har nogle love og/eller internationale regler at leve op til for f.eks. at kunne afsætte deres produkt.
Generelt set kan vi anbefale, at data centraliseres og kategoriseres således, at der ikke ligger for meget redundant data i virksomheden, som vanskeliggør en sletning på et givent tidspunkt. Derudover anbefaler vi, at brugen af f.eks. USB-drev/nøgler minimeres eller afskaffes. Hvis de har været brugt, så sørg for at slette og formatere dem jævnligt.
Når og hvis I benytter jer af systemer med bagvedliggende databaser, så spørg til hvordan vi sikrer, at vi kan slette / anonymiserer persondata på et givent tidspunkt. De fleste udbydere af større systemer har allerede tænkt over, hvordan det kan gøres. Det bør ikke være et tillægsprodukt, men en del af den standardpakke, I har fået leveret.
Hvad med data på min backup?
Det er faktisk et meget interessant emne. Virksomheder tager backup for at kunne genskabe data, hvis der skulle ske et datatab. Lad os antage, at virksomheden kører en længerevarende backup cyklus og kan tilgå data, der er mere end to år gammelt i forbindelse med restore fra en backup. Virksomheden har netop slettet data omkring tre tidligere medarbejdere – herunder en mappe som HR-afdelingen havde på de enkelte medarbejdere. Få dage senere sker der et crash af en server, og data genskabes fra en backup, som er nogle dage gammel. Hvordan sikrer virksomheden nu, at de tre tidligere medarbejderes data slettes igen? Det er et spørgsmål, som Datatilsynet gerne vil have, at virksomheden tager stilling til. Det er og må være enhver IT-chefs og dataansvarligs mareridt. Gode råd er dyre. Jeg ville gerne komme med løsningen, men synes ikke at have den enkelte plan. Jeg ser, at der er følgende muligheder:
· Man fører log med, hvad der slettes.
· Man gennemgår den udarbejdede ”års slette plan” efter backup er indlæst.
· Man beder IT om kun at aktivere/restore den data, der er højest nødvendig (sikrer dog ikke at data fra backup slettes).
Vigtigst af alt er, at man i virksomheden kigger på backupprocedurerne, så de tilpasses de enkelte dataområder og kategorier af data, for at undgå, at man kommer i nogle uheldige situationer.
Gode råd
Nedenfor et par gode råd:
· Tag stilling til slettefrister for de forskellige personoplysninger, der behandles, med baggrund i behandlingens formål.
· Dokumenter de fastsatte slettefrister.
· Vær opmærksom på lovmæssige krav, som kan påvirke slettefristerne.
· Fastlæg og dokumenter en procedure for sletning.
· Fastlæg og dokumenter en procedure for opfølgning på, at sletning forløber som forventet.
· Tænk sletning ind i behandlingen, så behandlingen indrettes således at eventuelle forskellige slettefrister kan opfyldes på en hensigtsmæssig måde i forhold til systemet, der anvendes.
Datatilsynet har skrevet en længere artikel om sletning, som kan læses i sin fulde længde ved at trykke HER
Vi står naturligvis til rådighed for en dialog omkring håndteringen af jeres slettepolitikker. Dette kan være via manuelle kontroller eller ved at bruge vores ARCHII.EU software-værktøj, som kan gennemlæse jeres data eller læse data fra udvalgte områder og således lave en analyse af, hvor der skal gøres en indsats.
