Datatilsynet har lagt nye retningslinjer for sletning af personoplysninger på bordet.
Der er ikke blot tale om almindeligt informationsmateriale, men en tekst af ‘normativ’ karakter, som Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, kalder det.
»Det er vores fortolkning af, hvad man skal gøre, når man sletter data.«
Det, der præciseres, er selve begrebet sletning:
»Vi prøver at forklare de dataansvarlige, hvad der skal til for at foretage en sletning af persondata på den rigtige måde – hvilke overvejelser, man skal igennem. Problemet er, hvordan man behandler slettefrister, hvordan man egentlig sletter oplysninger og følger op på det.«
Det er en af de ting, som Datatilsynet oplever, når de besøger virksomheder og organisationer.
»Man finder måske ud af, at en batch-kørsel ikke har slettet oplysninger. Hvis der ikke er efterfølgende kontrol, kan der ligge oplysninger.«
Udgangspunkter for lovgivningen er, at man skal slette data, også i backup-systemer. Man skal slette alle de repræsentationer, man måtte have oplysningerne i, som Allan Frank formulerer det.
Men det kan være svært at gøre, hvis backuppen eksempelvis er en krypteret og komprimeret database, med blandede oplysninger, og hvor man ikke nødvendigvis kan slette en enkeltstående post.
Krypter de følsomme poster i backuppen
Teamchef Hao Shen fra Nordeas platformshold har tidligere givet et bud på løsning af problematikken med personoplysninger, som skal slettes fra et system inden for en bestemt tidsfrist.
Det skete på Goto Copenhagen-konferencen, der blev afholdt i november måned.
Problemet er løst ude i den store verden, kunne han fortælle tilhørerne: Man krypterer blot posten, og når tidsperioden er udløbet, smides nøglen væk. Selv om posten stadig ligger et sted på en disk eller et bånd, kan den ikke læses.
Allan Frank kan godt se det fornuftige i fremgangsmåden, men pointerer, at en kryptering af oplysninger ikke er det samme som en sletning.
»Det er en teknisk måde at behandle sin backup på, så den ikke er læsbar. Det vil sige at man reelt efterfølgende kan anonymisere oplysningerne, hvis man benytter en godkendt krypteringsalgoritme.«
Men så skal man også være sikker på, at den måde, man gemmer og sletter krypteringsnøglen på, er en irreversibel proces:
»Man skal være sikker på, at man får ‘brændt’ nøglen, så indholdet aldrig kan genskabes. Men terminologisk er det altså ikke ‘sletning,’ men noget andet, man gør.«
Når nøglen smides væk, er der reelt set tale om en anonymisering – men så er man også uden for GDPR-forordningens rammer. Man gør det praktisk umuligt, med den gældende teknologi, at rekonstruere data.
Problematikken var i spil i november sidste år, da Version2 kunne afsløre, at Rigspolitiet gemmer oplysninger om bilers nummerplader i det såkaldte ANPG-system i 60 dage, hvor reglerne siger 30.
»Du har backuppen, som understøtter driften, og så har du driften, som er det, der er omfattet af reglerne,« sagde Rigspolitiets databeskyttelseschef Christian Wiese Svanberg dengang til Version2.
Andre regler for politiet
Men situationen er dog ikke helt den samme for politiet, som for virksomheder og offentlige myndigheder, hvor den slags forklaringer ikke er gangbar.
Allan Frank uddyber:
»Rigspolitiet hører under retshåndhævelsesdirektivet og retshåndhævelsesloven, som er et andet regelsæt, der dog minder en del om GDPR-forordningen, men hvor der større frihedsgrader, bl.a. til at lade være med at informere om de ting, man gør.«
For andre end ordensmagten lyder reglen ganske simpelt:
»Man må ikke have backup liggende, med mindre der er en god teknisk forklaring. Efter ‘retention-perioden’ skal backuppen slettes.«
Retention-perioden er den tid, hvor man af driftsmæssige hensyn kan få brug for at genindlæse backup’en.
»Backup skal kun opbevares så længe det er sagligt i forhold til at reetablere ens driftssetup efter et nedbrud.«
Mere præcist siger forordningen: Oplysningerne skal slettes så hurtigt som muligt, når formålet med oplysningerne ikke længere er til stede.
»Der er ingen ultimativ slette-frist. Men der kan være slette-frister i anden lovgivning, som for eksempel markedsføringslovens paragraf 10, arkivloven, og bogføringslovens bestemmelser om opbevaring af fakturaer i fem år, der medfører at sletning ikke kan ske før opbevaringskravet udløber.«
Samtykke kan trækkes tilbage
Virksomheder skal gøre kunder og brugere opmærksom på, hvilke regler der følges, på forhånd. Og hvis man ikke synes vilkårene er rimelige, kan man sige nej, fortæller Allan Frank.
»Hvis virksomheden lever op til reglerne om samtykke, er det en særlig type aftale mellem to parter.«
Hvis bruger- eller kundeaftalen er klar nok i forhold til formuleringen af vilkår, kan virksomheden opbevare data så længe, som de har gjort opmærksom på, med mindre samtykket tilbagekaldes.
Men udgangspunktet i forordningen er altså, at oplysninger skal slettes, når de ikke er nødvendige til de formål, de er indhentede til.
Men hvis jeg skriver det klart i min tjenestes betingelser, at jeg videreudnytter oplysninger efter kunden/brugeren har forladt tjenesten, er det så i orden?
»Efter omstændighederne kan det være det, men kun hvis man stadig har behandlingshjemmel, f.eks. hvis samtykket ikke kan betragtes som tilbagekaldt i og med man forlader tjenesten. Hvis man benytter samtykke som behandlingshjemmel, kan et samtykke trækkes tilbage ensidigt af den registrerede, og så skal al behandling baseret på samtykket ophøre og sletning skal ske,« slutter Allan Frank.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
