Systemer og procedurer skal testes nu: Kan du fjerne persondata fra jeres backup?

Klumme: Skønt persondataforordningen først bliver håndhævet fra næste år, er det på høje tid at sikre, at I kan overholde kravene, skriver Henrik Larsen fra DKCERT i denne klumme.

Artikel top billede

For et par år siden forlod en medarbejder din virksomhed. De sidste udeståender om skat og feriepenge er ude af verden.

Kan I slette alle oplysninger om medarbejderen i jeres it-systemer? Kan I slette data om medarbejderen i jeres sikkerhedskopier?

Det sidste punkt vil nok volde mange organisationer problemer. Men det er et krav i EU's generelle databeskyttelsesforordning.

Måske tænker du, at det kan vente. Den gælder jo først fra den 25. maj 2018.

Men det er ikke rigtigt. Fra den 25. maj 2018 bliver kravene i forordningen håndhævet. Det er med andre ord sidste frist til at få styr på dem, før det får konsekvenser.

Læs også: Undgå EU-bøder for brud på persondata-reglerne: Her ligger sikkerhedsansvaret i din virksomhed

Databeskyttelsesforordningen, der også går under navnet "persondataforordningen", indfører fælles regler i alle EU-lande for behandlingen af data om personer.

Den afløser det direktiv fra 1995, der ligger til grund for Danmarks nuværende persondatalov.

Et bærende princip i forordningen er, at borgerne har indflydelse på, hvordan data om dem behandles.

Vi har ret til at blive glemt

Retten til at blive glemt er en konsekvens. Som der står i Artikel 17 stk. 1:

"Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende."

Det første forhold, der nævnes, er meget enkelt: Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet.

Det kan fx være data om en kunde, der ikke længere handler i ens netshop.

Her har organisationen altså pligt til at slette data.

Hvornår er data slettet?

Hvornår er data så slettet? Er det tilstrækkeligt, at de ikke længere er aktive i driftssystemerne? Eller skal enhver sikkerhedskopi også renses?

I praksis vil det være meget vanskeligt at fjerne alle oplysninger om en person fra alle kopier. Nogle sikkerhedskopier kan være arkiveret på dvd'er eller andre medier, der ikke kan redigeres i.

Her vil det i sidste ende kræve, at sikkerhedskopien indlæses, persondata slettes, hvorefter der gemmes en ny sikkerhedskopi og den oprindelige destrueres.

Læs også: Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning

Hvor skrappe de tekniske krav bliver, ved vi endnu ikke. Det må retspraksis vise - måske kommer der certificerede teknologiske løsninger, man kan vælge.

Men prøv at udføre tankeeksperimentet: Hvor godt vil jeres virksomhed eller organisation være i stand til at opfylde kravene i databeskyttelsesforordningen?

Det er vigtigt at tænke forordningen ind i jeres procedurer og systemer allerede nu.

For eksempel skal I gennemføre en "konsekvensanalyse vedrørende databeskyttelse", hvis jeres databehandling medfører en høj risiko for personers data.

I skal være forberedt på at behandle brud på datasikkerheden. Således skal I være i stand til at anmelde et brud til Datatilsynet inden for 72 timer.

Skal I have en DPO?

Nyt i forordningen er også kravet om, at nogle organisationer og virksomheder skal have en databeskyttelsesrådgiver eller DPO (Data Protection Officer). Det gælder alle offentlige institutioner.

Private virksomheder og organisationer skal have en databeskyttelsesrådgiver, hvis behandling af persondata er deres primære opgave - eller hvis de systematisk indsamler data om mange personer.

Databeskyttelsesrådgiverens opgave er primært at sikre, at organisationen overholder forordningens krav.

De danske universiteter er allerede godt i gang med at forberede sig på opgaven. De ser blandt andet på muligheden af at lade flere institutioner deles om en databeskyttelsesrådgiver.

Tilsyn får sanktionsmuligheder

Hvis I allerede har styr på persondataloven og sikkerhedsbekendtgørelsen, er I godt på vej. Hovedparten af bestemmelserne i den nye forordning ligner dem, vi kender i forvejen.

En meget vigtig forskel er imidlertid, at Datatilsynet nu får reelle sanktionsmuligheder.

I dag er tilsynets stærkeste magtmiddel reelt, at det kan skrive sin kritik i en afgørelse med fed skrift.

Men efter den 25. maj 2018 får myndighederne mulighed for at udstede bødeforlæg og for at forbyde visse databehandlinger med høj risiko.

Jeg tror, at en del organisationer og virksomheder hidtil har taget meget let på kravene i persondataloven. De ser Datatilsynet som en papirtiger, så risikoen ved ikke at overholde loven opfattes som lille.

Det vil ændre sig.

Dermed kan indførelsen af databeskyttelsesforordningen føre til et højere sikkerhedsniveau generelt - og især inden for beskyttelsen af persondata.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Læs også:

Undgå EU-bøder for brud på persondata-reglerne: Her ligger sikkerhedsansvaret i din virksomhed

Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

Alexander Hoffmann

GlobalConnect

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

Plamena Cherneva

SAP SuccessFactors Partner Pentos