GDPR & Backup

Hvordan GDPR påvirker din backupstrategi – og hvad dansk law siger

GDPR og backup er ikke nemme venner

GDPR giver mennesker rettigheder over deres persondata. Det er godt. Men det skaber en konflikt med backup:

Backup siger: "Bevar alt så længe muligt, så du kan gendanne hvis noget går galt"

GDPR siger: "Slet data når det ikke længere er nødvendigt – eller på anmodning fra personen"

Det betyder hvis en kunde ønsker at blive "glemt" (right to be forgotten), skal hans data slettes – men hvordan sletter du fra alle backups?

GDPR's vigtigste backupkrav

1. Integritet og Confidentiality (artikel 5 + 32)

Lovkrav: Persondata skal være "protected against unauthorized or unlawful processing and against accidental loss, destruction or damage"

For backup betyder det:

  • ✅ Du skal have backup (for at beskytte mod tab)
  • ✅ Backup skal være krypteret (hele vejen og i rest)
  • ✅ Backup skal ikke være let tilgængelig for uautoriserede

2. Purpose Limitation (artikel 5)

Lovkrav: Data må kun bruges til det formål det blev indsamlet til

For backup betyder det:

  • ✅ Du må backe persondata op hvis det er nødvendigt for virksomheden
  • ✅ Du må ikke genbruge backup-data til nye formål (f.eks. marketing) uden samtykke
  • ❌ Du kan ikke backe op "bare sådan" uden sikker grund

3. Storage Limitation (artikel 5)

Lovkrav: "Personal data kept in a form which permits identification of data subjects for no longer than is necessary"

For backup betyder det:

  • ❌ Du kan ikke backe op "for evigt" – der skal være en retention policy
  • ✅ Du kan backe op så længe der er en legitim grund (business need, legal hold)
  • ✅ Du skal slette backup når grunden ikke længere eksisterer

4. Right to be Forgotten (artikel 17)

Lovkrav: Mennesker kan anmode om sletning af deres data

For backup betyder det:

  • ❌ Du kan ikke sige "vi har det i backup, så vi sletter det ikke"
  • ✅ Du skal have plan for at slette fra backups også (eller anonymisere)
  • ⚠️ Undtagelse: Hvis der er juridisk/skattemæssig holdepligt ("legal hold")

Praktisk: Hvad betyder det for din backup?

Scenario 1: Du har kundedata i Dropbox + backup

Situation: En kunde ønsker at blive slettet (right to be forgotten)

Hvad skal du gøre:

  • 1. Slet fra Dropbox (primær lokation)
  • 2. Slet fra backup (cloud backup, ekstern harddisk, osv.)
  • 3. Bekræft at alle kopier er slettet
  • 4. Du har 30 dage til at være færdig

Problem: Hvis du har daglig backup, har du måske 30-50 versions af kundens data. At slette manuelt fra hver er tidskrævende.

Løsning: Bruge et backup-system som kan: (1) identificere hvilke backups indeholder persondata, (2) gendanne og fjerne dem, eller (3) efter en vis tid automatisk blive "outdated".

Scenario 2: Du har juridisk holdepligt

Situation: En kunde sagsøger dig, og domstolen siger "bevar alt fra 2021-2023"

Hvad skal du gøre:

  • 1. Vedligeholde alle backups fra 2021-2023
  • 2. IKKE slette når timeout passerer
  • 3. Efter retssag er sluttet, så slette eller anonymisere

Lovkrav: GDPR tillader "legal hold" exceptions når der er et gyldigt juridisk behov.

Scenario 3: Du har langtidsbevaring (arkiv)

Situation: Du skal opbevare økonomiske records i 5 år (skatteloven)

Hvad skal du gøre:

  • 1. Anonymisere eller kryptere backup (så personerne ikke kan identificeres)
  • 2. Backe op i 5 år
  • 3. Efter 5 år, slet eller destruer
  • 4. Du kan opbevare uden samtykke fordi der er juridisk grundlag

Opbygning af GDPR-compliant backup-strategi

Trin 1: Data inventory

Hvad for persondata har du?

  • Kundedata? Medarbejderdata? Besøgende-logs? IP-adresser?
  • Hvor opbevares det? (database, filer, logs?)
  • Hvad er holdepligten? (lovkrav, kontrakt, business need?)

Trin 2: Retention policy

For hver datatype, definer hvor længe du holder det:

  • Kundedata: Så længe kundeforhold + 5 år (skattelov) → 6+ år
  • Ansøger-data som ikke blev ansat: 6 måneder eller 2 år (efter aftale)
  • Weblogs: 30-90 dage (ingen grund til at holde længere)
  • Backup: Samme retention som original data

Trin 3: Backup architecture

Tegn op hvordan du backedter:

  • Hvilke systemer har persondata? (server, database, filshare?)
  • Hvor backedter du? (lokal harddisk, cloud, off-site?)
  • Hvad er backup-frekvens? (daglig, ugentlig?)
  • Hvornår slettes gamle backups? (automatisk efter X dage?)

Trin 4: Right to be forgotten process

Opbygning af proces når nogen anmoder sletning:

  • 1. Modtag anmodning
  • 2. Identificer alle lokationer hvor data ligger (production + alle backups)
  • 3. Slet eller anonymisere
  • 4. Bekræft (gerne med log/dokumentation)
  • 5. Svar personen inden 30 dage

Trin 5: Documentation

Vigtig: GDPR kræver du dokumenterer:

  • Din data inventory
  • Din retention policy
  • Din backup-strategi (DPIA – Data Protection Impact Assessment)
  • Right to be forgotten proces
  • Audit trail af hvem der slettede hvad og hvornår

DinBackup.dk og GDPR

DinBackup er bygget med GDPR i tankerne:

  • EU-hostet: Data ligger i Danmark, ikke på US-servere (GDPR compliance)
  • Enkrypteret: End-to-end encryption betyder selv DinBackup kan ikke se dine data
  • Versionering: Du kan gendanne fra gamle versioner for at håndtere fejl, eller slette specifik versions når "right to be forgotten" anmodes
  • GDPR-dokumentation: DinBackup er GDPR-compliant og kan hjælpe med compliance
  • Redundans uden over-lagring: Ikke dobbelt lagring uden grund

Fælles GDPR-backup fejl

"Vi backedter alt – GDPR siger intet om backup"

Forkert. GDPR siger data skal lagres ikke længere end nødvendigt. Backup er data-lagring, så GDPR gælder.

"Hvis det er i backup kan vi ikke slette det"

Ikke acceptabelt. GDPR kræver du har proces for at slette fra backup også. "Teknisk svært" er ikke undskyldning.

"Vi holder alt i backup i 10 år sikkert"

Ikke GDPR-compliant. Du skal have juridisk grund for at holde data i 10 år (holdepligt, kontrakt, lovkrav). "Sikkert at have" er ikke grund nok.

"Vi anonymiserer ikke – data bliver slettet efter 5 år"

Okej. Men dokumenter at: (1) 5 år er nødvendig, (2) du sletter automatisk, (3) du har audit trail.

Konkluderende: Hvad skal du gøre nu?

  1. 📋 Data inventory: Lav liste over hvad for persondata du har
  2. Retention policy: Definer hvor længe du holder hver type
  3. 💾 Backup policy: Skriv ned hvornår og hvordan du backedter
  4. 🔐 Deletion process: Beskriv hvordan du håndterer right to be forgotten
  5. Test: Prøv faktisk at slette en "kunde" fra alle backups – tager det for lang tid?
  6. 📄 Dokumenter: Gem alt som dokumentation (til Datatilsynet hvis de spørger)

Vil du gøre backup GDPR-compliant?

DinBackup.dk gør det nemt – EU-hostet, versionering for recovery, og processen til sletning når nødvendigt. Med GDPR i tankerne fra start.

Se GDPR-compliant backup hos DinBackup