En ny sag fra Aalborg Kommune sætter fokus på et centralt krav i GDPR: rettidig sletning af persondata.
Kommunens egen Databeskyttelsesrådgiver (DPO) har i en ny rapport konkluderet, at ingen af de syv forvaltninger lever op til reglerne om sletning. Problemet er ikke nyt. Det blev identificeret i både 2022 og 2023, men er fortsat ikke løst i 2025.
Konsekvensen er, at persondata opbevares længere end tilladt, uden at kommunen har overblik over omfanget. Det betyder samtidig, at der potentielt opbevares følsomme oplysninger om borgere uden et lovligt grundlag.
Sagen vurderes som alvorlig, og ifølge eksperter kan den i sidste ende føre til sanktioner fra Datatilsynet.
Sagen fra Aalborg Kommune viser en udfordring, vi ofte møder i praksis: Sletning af persondata bliver ikke håndteret korrekt, selv når organisationen er fuldt ud klar over problemet.
Det er derfor ikke et spørgsmål om manglende viden. Det er et spørgsmål om manglende handling.
Når sletning ikke bliver gjort i praksis
Sagen er alvorlig, fordi den rammer et centralt princip i GDPR: Persondata må ikke opbevares længere end nødvendigt.
Ifølge Jan Trzaskowski kan overtrædelsen i sidste ende føre til bøder. Samtidig er det uklart, hvor stort problemet er, da kommunen ikke kan redegøre for, hvilke data der ikke bliver slettet.
Det efterlader en væsentlig usikkerhed, særligt fordi der kan være tale om følsomme oplysninger om fx sundhed, børn og økonomi.
“Det gælder jo kommuner, så vi kan godt slappe lidt af”
Det er en helt naturlig reaktion, men det er ikke sådan virkeligheden er.
Når en sag som den fra Aalborg Kommune rammer medierne, vil mange private virksomheder tænke, at det primært er et offentligt problem. At kompleksiteten er større. At kravene håndhæves anderledes. Eller at konsekvenserne ikke er de samme.
Men så tager man fejl.
Datatilsynet fører tilsyn med både offentlige myndigheder og private virksomheder. Reglerne i GDPR er de samme, uanset om I er en kommune, en produktionsvirksomhed eller en serviceorganisation.
Der er ikke et “lavere niveau” for private. Og i praksis ser vi noget endnu vigtigere:
Fokus på sletning er stigende, også hos private virksomheder.
De seneste år har tydeligt vist, at sletning ikke er et område, der bliver nedprioriteret af tilsynet. Tværtimod er det ofte her, problemerne bliver synlige. Ikke fordi organisationer bevidst ignorerer reglerne, men fordi arbejdet ikke er gjort konkret nok.
Sletning bliver ofte betragtet som en “afsluttende” disciplin. Noget, der kommer efter kortlægning, politikker og samtykker, men realiteten er en anden.
Det er netop i sletningen, det viser sig, om I har kontrol over jeres data.
- Ved I, hvornår data skal slettes?
- Bliver det faktisk gjort?
- Kan I dokumentere det?
Hvis ikke, står I i samme situation som mange andre organisationer, uanset størrelse og branche. Derfor er sletning heller ikke et “det går nok” område.
Det er et af de steder, hvor det går galt og hvor konsekvenserne bliver tydelige.
Her opstår de største problemer og bøder
Når Datatilsynet reagerer i praksis, er det sjældent på grund af manglende intentioner. Det er fordi helt grundlæggende ting ikke er på plads.
Vi ser typisk de samme udfordringer gå igen:
Organisationer opbevarer data længere end nødvendigt. Ikke bevidst, men fordi ingen har taget stilling til, hvornår data faktisk skal slettes. Slettefrister mangler, er uklare eller bliver ikke brugt i praksis.
Samtidig mangler der dokumentation. Når først spørgsmålet bliver stillet, “hvad har I slettet, og hvornår?”, er svaret ofte usikkert eller baseret på antagelser.
Det er her, problemerne opstår.
For i GDPR er det ikke nok at have gode intentioner. I skal kunne vise, at I efterlever reglerne i praksis. Det er også derfor, vi ser nogle af de mest alvorlige konsekvenser netop her.
Manglende sletning er et af de områder, hvor de største bøder bliver uddelt.
Ikke fordi det nødvendigvis er teknisk komplekst, men fordi det kræver, at organisationen har taget konkrete beslutninger og fået dem forankret i hverdagen.
“Vi har altid gemt det” er ikke en gyldig grund.
En af de mest udbredte forklaringer, vi møder, er:
“Vi har altid gjort sådan.”
Måske har data ligget i systemerne og mailindbakken i mange år. Måske har medarbejdere været i virksomheden længe og er vant til at gemme “for en sikkerheds skyld”.
Men i GDPR-sammenhæng er det ikke en gyldig begrundelse. I må ikke gemme persondata til “evig tid”, bare fordi det er nemt, eller fordi det altid har været praksis.
Reglerne er klare:
Persondata må kun opbevares, så længe der er et sagligt og dokumenterbart formål. Når formålet ikke længere er til stede, skal data slettes.
Det kræver, at I aktivt tager stilling:
- Hvilke data har vi?
- Hvorfor har vi dem?
- Hvor længe har vi reelt brug for dem?
Hvis de spørgsmål ikke er besvaret, er risikoen den samme som i Aalborg-sagen:
At data bliver liggende, uden at nogen reelt ved hvorfor.
Og det er præcis dér, både risikoen og konsekvenserne opstår.
En praktisk vej videre
Hos GapSolutions arbejder vi med at gøre compliance håndterbar i praksis.
Vores erfaring er enkel:
Sletning fungerer først, når den bliver konkret og forankret i hverdagen. Derfor har vi gjort det nemt at tage første skridt.
Hvis I vil undgå at havne i samme situation som Aalborg Kommune, handler det ikke om at gøre mere, men om at gøre det rigtige mere konkret.
Vi anbefaler, at I starter med at få styr på tre ting:
For det første: Skab overblik over, hvilke persondata I faktisk har, og hvor de ligger. Mange bliver overraskede over, hvor spredt data er i organisationen.
For det andet: Fastsæt klare og realistiske slettefrister. Ikke teoretiske regler, men frister der giver mening i jeres hverdag og som kan efterleves.
For det tredje: Få forankret ansvaret. Sletning sker kun, hvis det er tydeligt, hvem der gør hvad og hvornår.
Det lyder enkelt. Og det kan det også være, men det kræver, at I får det omsat til praksis.
Har I brug for hjælp til at komme i gang?
Hvis I kan genkende udfordringerne, er I langt fra alene.
Hos GapSolutions hjælper vi jer med at gøre sletning konkret og håndterbar uden at gøre det unødigt komplekst.
Hvis I har brug for en struktureret start, kan vi komme ud til jer og gennemføre en workshop, der tager udgangspunkt i jeres organisation.
På tre timer arbejder vi sammen om at skabe overblik, afklare jeres slettekrav og få lagt en plan, I kan arbejde videre med, med det samme.
Workshoppen er målrettet jer, der arbejder med GDPR i praksis – typisk GDPR-ansvarlige, ledelse og HR og foregår internt hos jer, så indholdet bliver relevant fra start.
Ræk gerne ud til os her, så tager vi en snak om hvordan vi kan hjælper jer på vej.
Vil I have styr på sletning og vide, hvordan I kommer videre? Så tager vi gerne dialogen.
