Site Search

Loading Results

Fordele ved at slette data – også af hensyn til krav i GDPR

21/02/22

Det er et krav i databeskyttelsesforordningen (GDPR), at oplysninger ikke opbevares længere end nødvendigt. Derfor har Datatilsynet ad flere omgange indstillet virksomheder til bøder eller udtalt kritik i sager, hvor der ikke var foretaget passende sletning af personoplysninger. Datatilsynet har fx indstillet til bøde i en sag, hvor en virksomhed opbevarede navne, adresser, telefonnumre, mailadresser og købshistorik på ca. 385.000 kunder i længere tid, end det reelt var nødvendigt.

Overtrædelser af reglerne om sletning kan både bestå i, at virksomheden ikke har fastsat formelle sletteregler og -frister, og at virksomheden har fastsat sletteregler og -frister, men ikke har disse implementeret. Det er med andre ord ikke nok at have ”papirskjoldet” på plads – det skal også implementeres. 

Hvorfor slette data?

Det kan fremstå voldsomt at skulle have en bøde for at opbevare forholdsvis trivielle oplysninger som navn og adresse i længere tid, end man reelt må. Men manglende sletning er dog ikke kun en formel overtrædelse af GDPR. Opbevaring af personoplysninger – uanset karakteren af de pågældende oplysninger – medfører altid en risiko for den registrerede, fx ved tab af oplysningernes fortrolighed og/eller integritet. Men der er trods alt også andre gode grunde til at implementere sletterutiner.

Tab af fortrolighed af data med risiko for brud på persondatasikkerheden

”Man kan ikke miste noget, man ikke har”. Derfor er det en god forebyggende aktivitet at begrænse mængden af data, inden der sker en sikkerhedshændelse. PwC’s Cyber Survey fra 2021 viser, at mere end hver anden virksomhed i Danmark har haft en sikkerhedshændelse, og at mere end halvdelen af disse hændelser omfattede personoplysninger. Risikoen for, at der sker sikkerhedshændelser, som medfører tab af datas fortrolighed eller integritet er til stede, så længe data opbevares, og denne risiko øges, jo længere data opbevares. 

Tab af integritet af data betyder manglende tillid til datakvaliteten

Brug af opdaterede og korrekte data kan have stor forretningsmæssig værdi, og som udgangspunkt regner vi med, at data er korrekte. Jo længere tid data opbevares, jo større er risikoen for, at en opdatering ikke har fundet sted. Hvis basale data som mailadresser eller fysiske adresser, ikke er korrekte, kan det betyde væsentlige driftsforstyrrelser, øgede driftsomkostninger og samtidig være til gene for kunder, borgere, medarbejdere mv.

Data kan bruges forkert

GDPR indeholder krav om, at den dataansvarlige alene må bruge data, der er et formål med og et behandlingsgrundlag for. Ved at opbevare data i længere tid øges risikoen for, at data anvendes til et andet formål end det, som de oprindeligt er indsamlet til. En sådan behandling til et nyt formål vil som udgangspunkt være i strid med GDPR.

Manglende tillid til data forhindrer værdifulde resultater

Data er en vare og en fundamental forudsætning for mange virksomheder. Hvis der ikke er tillid til, at data dels er korrekte og opdaterede og dels indsamles og anvendes på en måde, som lever op til lovgivningen, er der en øget risiko for, at virksomhederne ikke udnytter virksomhedens fulde potentiale.

Det er alene relevant og interessant for en virksomhed eller organisation at have data og personoplysninger tilgængelige, hvis de kan skabe en reel værdi for forretningen. Tilgængelighed i sig selv skaber som udgangspunkt ikke værdi, og opbevaring af (for) gamle personoplysninger øger kun forretningens omkostninger og risikoen for de registrerede. 

Derudover skal virksomheder og organisationer kunne håndtere GDPR-anmodninger fra registrerede i overensstemmelse med reglerne. Unødig dataophobning kan gøre håndteringen og imødekommelsen af fx indsigtsanmodninger kompliceret og i værste fald umulig.

Anbefalinger

Det er ikke den manglende sletning i sig selv, der kan være uhensigtsmæssig. Det er de konsekvenser, som den manglende sletning kan medføre, der er problematisk. 

PwC giver derfor her nogle anbefalinger til, hvordan man som organisation håndterer opbevaring og sletning af data:

  1. Kortlæg og skab overblik over, hvor I opbevarer og behandler data. Skab overblik over jeres behandlingsaktiviteter og formålene med aktiviteterne, samt hvor data er placeret. Dette kan være svært at uoverskuelige, hvorfor en indledende kortlægning eller automatisk scanning af systemer eller applikationer kan være en god idé. Der findes flere værktøjer til dette formål, se eksempel her.

  2. Kortlæg og skab overblik over, hvem der har adgang til data. Brugeradministration og eventuel etablering af Identity Access Management er en forudsætning for at sikre, at kun personer med et arbejdsbetinget behov har adgang til data. Samtidig skal systemer og applikationer hærdes, så de sikkerhedsmæssigt kan modstå uautoriseret adgang. 

  3. Udfør en risikovurdering af organisationens behandlingsaktiviteter, og implementér på baggrund heraf passende organisatoriske og tekniske foranstaltninger. Der skal således udfærdiges en it-risikovurdering af konsekvensen for virksomheden ved tab af henholdsvis fortrolighed, integritet og tilgængelighed af data samt en vurdering af konsekvensen for de registrerede (personrisikovurdering).

  4. Udarbejd og dokumentér opbevaringsfrister for, hvor længe personoplysninger skal opbevares. Udarbejd politikker og forretningsgange for opbevaring og sletning af personoplysninger i organisationens systemer, og implementér på baggrund heraf automatisk sletning, hvor det er muligt.

  5. Fastlæg og etablér en governance-struktur for ejerskab af data. Hvem har ansvaret for, at data er opdaterede og korrekte, og at der gennemføres tilstrækkelig sletning, uden at det forstyrrer forretningen? Ansvar og opgaver, der knytter sig til data, bør være beskrevne, fordelte og kommunikerede.

Hvordan kan vi hjælpe dig? 

Har I brug for hjælp, er I velkomne til at kontakte PwC’s Technology & Security-afdeling.

PwC’s Privacy & Data Protection (GDPR)-team er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk over forretningsmæssig til teknisk rådgivning.

Related Content

Kontakt os

Aleksandar Predrag Piletich

Director, Technology & Security, PwC Denmark

Tlf: 2928 5743

E-mail

Christian Kjær

Partner, Technology & Security, PwC Denmark

Tlf: 3945 3282

Linkedin Follow E-mail
Følg PwC
Om os Kontorer Presse Kontakt os

© 2021 - 2025 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.