databeskyttelseslovgivningen i Storbritannien er ændret som følge af
i henhold til den generelle databeskyttelsesforordning (GDPR) skal organisationer oprette en datalagringspolitik for at hjælpe dem med at styre den måde, de håndterer personlige oplysninger på.
hvis du opbevarer følsomme data for længe – selvom de opbevares sikkert og ikke misbruges – kan du stadig overtræde forordningens krav.
det lyder måske alt for stramt, men der er en god grund til det. I denne blog forklarer vi, hvorfor det er tilfældet, hvordan datalagringspolitikker fungerer, og hvordan du kan oprette en i overensstemmelse med GDPR ‘ s krav.
hvad er en dataopbevaringspolitik?
en datalagringspolitik er et sæt retningslinjer, der hjælper organisationer med at holde styr på, hvor længe oplysninger skal opbevares, og hvordan de skal bortskaffes, når de ikke længere er nødvendige.
politikken skal også skitsere formålet med behandlingen af personoplysningerne. Dette sikrer, at du har dokumenteret bevis, der berettiger dine opbevarings-og bortskaffelsesperioder.
mål og mål
hvis du kaster dit sind tilbage til den panik, der gik forud for GDPR træder i kraft, har du en perfekt god forståelse af, hvorfor datalagringsperioder er vigtige.
organisationer, der ikke havde interageret med os i år, kom ud af træværket for at bede om vores samtykke til at holde fat i vores data.
det viste, hvor ofte vores optegnelser sidder på organisationens databaser længe efter, at vi er færdige med at bruge deres tjenester.
organisationen ønsker ikke at slippe af med oplysningerne, fordi det koster praktisk talt intet at gemme kundeoplysninger, men at holde det unødigt udsætter det for sikkerhedstrusler.
det tager kun et uheld for en organisations systemer at blive brudt, uanset om det er et cyberangreb eller en intern fejl.
for at begrænse den skade, som brud på datasikkerheden kan forårsage, pålagde tilsynsmyndighederne, at EU-baserede organisationer kun skal opbevare personoplysninger, hvis der er en legitim grund til at opbevare dem.
hvor længe kan personoplysninger opbevares?
på trods af den tilsyneladende strenghed i GDPR ‘ s datalagringsperioder er der ingen regler om lagringsbegrænsning.
organisationer kan i stedet fastsætte deres egne frister baseret på de grunde, de finder passende. Det eneste krav er, at organisationen skal dokumentere og begrunde, hvorfor den har fastsat den tidsramme, den har.
beslutningen skal baseres på to nøglefaktorer: formålet med behandlingen af dataene og eventuelle lovgivningsmæssige eller juridiske krav til opbevaring af dem.
Data bør ikke opbevares længere end nødvendigt og bør ikke opbevares ‘bare hvis’ du har behov for det i fremtiden.
så længe et af dine formål stadig gælder, kan du fortsætte med at gemme dataene.
du bør også overveje dine juridiske og lovgivningsmæssige krav for at opbevare data. For eksempel, når dataene er underlagt skat og revision, eller for at overholde definerede standarder, vil der være retningslinjer for opbevaring af data, du skal følge.
du kan planlægge, hvordan dine data skal bruges, og om de skal bruges til fremtidig brug ved at oprette et datastrømskort. Denne proces er også nyttig, når det kommer til at lokalisere data og fjerne dem, når din opbevaringsperiode udløber.
der er to måder, du kan undgå deadlines for opbevaring af data. Den første er ved anonymisering af data; det betyder, at oplysningerne ikke kan forbindes med en identificerbar registreret.
hvis dine data er anonymiseret, giver GDPR dig mulighed for at opbevare dem så længe du vil.
du skal dog være forsigtig, når du gør dette. Hvis oplysningerne kan bruges sammen med andre oplysninger, som organisationen har til at identificere en person, anonymiseres de ikke tilstrækkeligt.
du kan også omgå tidsfrister for opbevaring af data, hvis oplysningerne opbevares til arkiveringsformål i offentlighedens interesse, videnskabelige eller historiske forskningsformål eller statistiske formål.
hvad skal man gøre med data over opbevaringsperioden
du har to muligheder, når fristen for datalagring udløber: slet den eller Anonymiser den.
hvis du vælger at slette dataene, skal du sikre dig, at alle kopier er blevet kasseret. For at gøre dette skal du finde ud af, hvor dataene er gemt. Er det en digital fil, papirkopi eller begge dele?
det er nemt at slette papirkopidata, men digitale data efterlader ofte et spor, og kopier kan findes i glemte filservere og databaser.
for at overholde GDPR skal du sætte dataene ‘ud over brug’. Alle kopier af dataene skal fjernes fra live-og back-Up-Systemer.
Sådan oprettes en dataopbevaringspolitik
din dataopbevaringspolitik skal være en del af din overordnede informationssikkerhedsdokumentationsproces.
det første skridt er at få et fuldstændigt billede af præcis, hvilke data du behandler, hvad de bruges til, og hvilke regler der gælder for din virksomhed.
disse regler omfatter, men er ikke nødvendigvis begrænset til, GDPR. Hvis du for eksempel behandler enkeltpersoners debet-eller kreditkortoplysninger, kan du være underlagt PCI DSS (Payment Card Industry Data Security Standard).
tilsvarende, hvis du agter at overholde ISO 27001, den internationale standard, der beskriver bedste praksis for informationssikkerhed, skal du være opmærksom på dens krav.
disse overholdelseskrav dikterer, hvilke oplysninger der skal medtages i din politik og de regler, den skal følge.
en simpel dataopbevaringspolitik vil adressere:
- de typer oplysninger, der er omfattet af politikken
forskellige typer oplysninger vil være underlagt forskellige regler, så du skal registrere, hvilke data du behandler – hvad enten det er navne, adresser, kontaktoplysninger, regnskaber og så videre.
- hvor længe du har ret til at opbevare oplysninger
klienter er undertiden overraskede, når vi fortæller dem, at GDPR ikke fastsætter specifikke frister for data, der skal opbevares. Hvor lang tid du opbevarer bestemte data for, er en subjektiv beslutning for dig at tage baseret på dine grunde til at behandle dataene.
- hvad du skal gøre med data, når det ikke længere er nødvendigt
regelmæssig sletning af unødvendige data reducerer også mængden af data, du skal Sile igennem for at overholde anmodninger om adgang til emner. Det reducerer også omkostningerne ved opbevaring og dokumenthåndtering.
hvis du gennemgår din datalagringspolitik regelmæssigt, kan du rense huset og fjerne duplikerede og forældede filer for at undgå forvirring og fremskynde eventuelle nødvendige søgninger.
prøv vores skabelon til datalagringspolitik
oprettelse af en datalagringspolitik kan virke som en skræmmende opgave, men med vores GDPR-værktøjssæt gøres processen enkel.
den indeholder alt, hvad du behøver for at overholde forordningen, herunder en skabelon til GDPR-datalagringspolitik, som Britiske organisationer kan bruge til at formalisere din tilgang til overholdelse, samtidig med at du sparer tid og penge.
dette værktøjssæt indeholder også:
- et Gap-analyseværktøj, som du kan bruge til at måle din overordnede compliance-praksis;
- vejledning i, hvordan du udfylder dine dokumentationskrav med skabeloner om pseudonymisering, minimering og kryptering for at nævne nogle få;
- en rolle-og ansvarsmatrice, der hjælper dig med at forstå, hvem der fører tilsyn med bestemte opgaver og funktioner.
en version af denne blog blev oprindeligt offentliggjort den 12. November 2018.