Sådan efterprøver du
din slettepolitik

Hvorfor skal min slettepolitik efterprøves?

Som virksomhed har du højst sandsynligt nedskrevet nogle procedurer og faste måder at håndtere data på. Det gælder også for persondata, som ligesom andre stykker data kan ligge på tværs af både mails, drev og systemer. Din virksomheds faste procedurer sikrer, at dine data opbevares korrekt og behandles ensartet, ligesom du får opretholdt en høj datakvalitet.

Men regler og procedurer kan ikke stå alene, for der kan ske tekniske og manuelle fejl – eller vise sig mangler i procedurerne. Derfor bør en dataansvarlig virksomhed ifølge Datatilsynet følge op på sin slettepolitik med periodiske kontroller. Igennem de periodiske kontroller – eller løbende evalueringer – kan du efterprøve, om dine arbejdsgange og politikker fungerer efter hensigten.

Forskellige data
– forskellige krav

Hvor længe data skal opbevares afhænger af flere faktorer, herunder lovgivning, interne virksomhedspolitikker og formålet med dataopbevaringen. Det er derfor vigtigt, at du som virksomhed har overblik over, hvilken type data du opbevarer – og dernæst hvor og hvor længe, du opbevarer det. For kun ved at kende dine data ved du, hvordan de lovgivningsmæssigt skal håndteres.  

For personoplysninger gælder det, at du kun må opbevare dem så længe det er nødvendigt med det formål, som de er blevet indhentet til. Når de ikke længere er relevante for dig at opbevare, skal de slettes eller anonymiseres. Herudover er der særlige krav til en række data som regnskabsdata, kontrakter, aftaler og medicinske data m.fl.

Hvor længe den specifikke type data, skal opbevares, kan du finde hos Datatilsynet her.

Løbende datarapporter
som periodiske kontroller

Der findes flere muligheder for at følge op på en slettepolitik, så du kan efterprøve og finde data, der ikke længere burde være relevant for dig at opbevare.

En løsning som de fleste virksomheder kan anvende, og som vi vil introducere dig for her er løbende datarapporter. En datarapport består af dataudtræk fra de datakilder, du ønsker at få undersøgt. Igennem en datarapport bliver du klogere på den information, du vil vide noget om, f.eks. parametre som alder, ændringsdato, adgange, klassificering og følsomhed. Den kan skræddersys til at give et overordnet billede af datamiljøet eller til at belyse et specifikt fokus.

Fremgangsmåde

Rapporten genereres ud fra en scanning af f.eks. fildrev, SharePoint Online eller øvrige datakilder.

Scanningen tilpasses til din organisations standarder for, hvordan data bør håndteres hos netop jer. På baggrund af de regler og forretningsprincipper, som scanningen sættes op til, finder du frem til de data, der falder uden for din forretnings regelsæt.

Det kan f.eks. være, at du som dataansvarlig vil have information om dataalder og følsomhed. Rapporten kan så synliggøre for dig, om der er identificeret forældet persondata, der har ligget urørt i mere end f.eks. ti år. Hvis der er det, kan det give anledning til at få kigget din politik og data efter.

Så via denne fremgangsmåde kan datarapporter hjælpe dig med at finde persondata eller anden data, som skulle have været slettet, men af den ene eller anden årsag ikke er blevet det.

Hvis der ikke findes noget usædvanligt i rapporten, kan den bruges til at bekræfte, at din slettepolitik fungerer efter hensigten. Datarapporten kan foretages løbende i et fastsat interval, og dermed blive en fast del af dine periodiske kontroller.