Kort svar
Gode sletterutiner handler om mer enn å sette en dato. Dere må vite hvorfor dataene lagres og hvem som eier prosessen.
Start med å kontrollere om dagens praksis faktisk dekker hvilke frister som gjelder for ulike datatyper, hvordan sletting faktisk skjer i systemene og hvordan unntak og sperringer håndteres.
Når dette ofte blir aktuelt
- når virksomheten må avklare hvilke frister som gjelder for ulike datatyper
- når dere er usikre på om dagens praksis dekker hvordan sletting faktisk skjer i systemene
- når ledelse eller styre trenger kontroll på hvordan unntak og sperringer håndteres
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke frister som gjelder for ulike datatyper | viser om plikt eller risiko faktisk er utløst |
| Hvordan sletting faktisk skjer i systemene | peker på hvilke tiltak som haster mest |
| Hvordan unntak og sperringer håndteres | gjør det lettere å forklare og dokumentere vurderingen |
Praktisk framgangsmåte
- Beskriv dagens praksis konkret før dere vurderer nye tiltak.
- Test om grunnlag, rutiner og dokumentasjon dekker hvilke frister som gjelder for ulike datatyper.
- Lukk de største hullene først rundt hvordan sletting faktisk skjer i systemene.
- Sørg for løpende oppfølging og dokumentasjon av hvordan unntak og sperringer håndteres.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- kartlegging av hvilke personopplysninger virksomheten behandler
- rutiner, policyer og avtaler som styrer behandlingen
- risikovurderinger, protokoller og endringslogg
- oversikt over systemer, leverandører og tilgangsnivåer
Vanlige feil
- dagens praksis blir tatt for gitt uten at den testes mot faktiske krav og forhold
- virksomheten beskriver et formål, men jobber i praksis på en annen måte
- for mye data samles inn fordi ingen eier oppryddingen
Når bør dere hente konkret hjelp?
Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis dere kan bli møtt med tilsyn, krav om innsyn, økonomisk tap eller personlig ansvar.
Relaterte guider
- Kundedata i AI-verktøy: hva må bedriften avklare?
- Backup, logg og arkiv: hvordan passer det med sletterutiner?
- Leverandørbytte og migrering av personopplysninger: hva må planlegges?