Digital Sikkerhedsformand: GDPR-sletning af e-mails støder ofte på modstand

Illustration: Lasse Gorm Jensen
Det kan være svært at opstille helt enkle sletteregler for emails, når man vil overholde GDPR. Ofte er man nødt til at definere reglerne konkret i forhold til de enkelte typer af data.

Ustrukturerede persondata, som rigtig mange virksomheder og organisationer blandt andet har liggende i e-mails, er et smertensbarn, når det gælder om at leve op til GDPR.

Det siger CISO og CPO ved Brødrene A&O Johansen A/S Henning Mortensen, der samtidig er formand for Rådet for Digital Sikkerhed, til Samfundsdesign.dk.

»Et godt eksempel er e-mails. Rigtig mange medarbejdere i både det offentlige og det private gemmer på deres e-mails med dokumenter og har gjort det i årevis. Ofte er de mange e-mails bare fulgt med, og it-afdelingerne har købt mere og billigere lagerplads, så der ikke har været behov for at slette e-mails. I sidste ende har det været billigere at gemme end at slette e-mails, hvilket ikke er rimeligt. Hvem tænker på, hvad der ligger under slettede e-mails i en papirkurv, der aldrig er blevet tømt?« siger Henning Mortensen til samfundsdesign.dk

De mange e-mails kan snildt indeholde følsomme personoplysninger, lige fra e-mails om navngivne kollegers private forhold til gamle jobansøgninger, sygemeldinger m.m.

»Fordi der aldrig har været en effektiv procedure og en slettepolitik, har data hobet sig op. Når man så vil introducere en slettepolitik, støder det ofte på modstand hos medarbejderne, der ikke frivilligt afgiver deres mange e-mails. Nogle finder endda på at flytte deres gamle e-mails til en lagerplads på nettet, når de bliver bedt om at slette dem.«

Kulturændring er et stort arbejde

Det er en meget stor udfordring for både offentlige og private virksomheder at få styr på, hvordan de kan overholde de grundlæggende regler om, at der skal være et sagligt formål med at indsamle oplysninger.

Desuden skal oplysningerne slettes eller gøres anonyme, når det ikke længere er nødvendigt at have oplysningerne. Det er den enkelte dataansvarlige, der skal vurdere, hvor længe det er nødvendigt at opbevare oplysningerne ud fra det formål, som oplysningerne oprindelig blev indsamlet til, som det lyder i Datatilsynets introduktion (PDF)til reglerne.

Alt det kræver også, at kulturen på arbejdspladserne skal bearbejdes og ofte ændres, mener Henning Mortensen.

Det kan være svært at sætte helt enkle sletteregler op. Ofte er man nødt til at definere reglerne konkret i forhold til de enkelte typer af data, lyder det fra datasikkerhedsformanden.

Eksempelvis kan man forsvare at gemme ansættelsesbreve, afskedigelsesbreve, sager om bortvisninger o.lign. op til 5 år, fordi sager herom typisk forældes efter 5 år.

Ansøgninger i forbindelse med jobopslag eller uopfordrede ansøgninger bør typisk kun gemmes i et halvt år.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Burde ledelsen ikke bare bemyndige virksomhedens it-afdeling til at slette alle mails der er mere 5 år gamle?

Modargumentet vil nok være noget ala "jeg har kontrakter der har en tidshorizont på mere end 5 år". STOR FAIL LYD!

Kontrakter eller mailkorspondance vedrørende kontrakter gemmer men ikke i et mail arkiv, for hvordan skal jeres operationelle medarbejdere så kunne levere/modtage det aftalte? og betyder det ikke at pågældende person ligger inde med vigtig viden der kunne forsvinde hvis personen ikke længere er i virksomheden?

Det er virkeligt godt at vi har gået GDPR.

  • 2
  • 1
#2 Ivan Skytte Jørgensen

Udstyrstyper, firmwareversioner, API-dokumentation, firmakunde-sager, ... Disse typer information kommer desværre ofte kun i emails, og medarbejderne har ingen steder at putte dem hen, så de forbliver i emailarkiverne. Og man får nogle gange brug for dem efter 5 år.

Artiklen ignorerer den problemstilling, og anbefaler at slette alle emails efter år fordi "mange snildt kan indeholde følsomme personoplysninger". Hvad med at man opdragede medarbejderne til at ikke bruge emailarkivet til sådanne ting. Det ville nok være billigere end slette alt, eller implementere systemer til forskelligartede ikke-følsomme data.

  • 0
  • 0
#4 Claus Bobjerg Juul

Udstyrstyper, firmwareversioner, API-dokumentation, firmakunde-sager, ... Disse typer information kommer desværre ofte kun i emails, og medarbejderne har ingen steder at putte dem hen

Udstyrstype hører til i en CMDB. (kan være et excel ark) Firmwareversioner høre til en et software repository. (kan være et fildrev) API-dokumentation høre til kildekode repository. (antager der er egenudviklet software) (kan være subversion) Firmakundesager høre til i CRM systemet (kan være fællespostkasse i mailsystemet)

  • 1
  • 0
Log ind eller Opret konto for at kommentere