Databeskyttelsesrådgiveren advarede i 2022. Igen i 2023. Og igen i 2025. Ledelsen noterede. Ingen handlede. Så greb Datatilsynet ind.
Tre rapporter, nul handling
I en af Danmarks største kommuner kontrollerede den interne databeskyttelsesrådgiver tre år i træk, om sletterutinerne for borgernes personoplysninger var på plads. Alle tre gange var svaret det samme: Data lå i system efter system uden slettefrister, uden procedurer, uden overblik.
Konklusionen i den tredje rapport var umulig at misforstå. Ingen af kommunens syv forvaltninger havde løst opgaven. Fire var ikke engang begyndt.
I marts 2026 drøftede direktørgruppen rapporten. Beslutningen: Bed digitaliseringscheferne udarbejde et forslag. Ingen frist. Ingen plan.
En måned senere gik pressen med historien. Samme dag indledte Datatilsynet en undersøgelse. Påbuddet kom kort efter.
Opskriften var der. Den blev ikke fulgt.
En specialist hos Datatilsynet var tydelig: Reglerne har været de samme i over 25 år. Allerede i 2022 offentliggjorde tilsynet en afgørelse mod en anden kommune, der fungerede som køreplan for præcis denne opgave. Fremgangsmåden var dokumenteret. Den blev ikke fulgt.
Kun hver tredje kommune har styr på det
Problemet er langt fra isoleret. I oktober 2024 afsluttede Datatilsynet tilsyn med 48 kommuner. Kun en tredjedel havde faste procedurer for sletning af persondata. Kun en tredjedel havde tilstrækkelig kontrol med medarbejdernes adgange.
Forsætlig overtrædelse, 15-doblet bøde
Det gælder ikke kun kommuner. I september 2025 idømte landsretten en stor dansk detailkæde en bøde på 1,5 millioner kroner for manglende sletning af 350.000 kundeoplysninger. Byretten havde sat bøden til 100.000 kroner. Landsretten 15-doblede den, fordi ledelsen kendte til problemet og ikke greb ind. Retten vurderede overtrædelsen som forsætlig.
Det er ikke bruddet, der koster
Mønsteret er det samme på tværs af sager. Det er ikke selve overtrædelsen, der udløser de hårdeste konsekvenser. Det er dokumentationen af, at ledelsen vidste det og ikke gjorde noget.
Tre ting at gøre nu
Find jeres databeskyttelsesrådgivers seneste rapport. Læs den fra ende til anden. Marker hver anbefaling, der ikke er gennemført. Det er præcis den liste, der bliver til bevis, hvis tilsynet banker på.
Kræv en systemliste fra IT inden udgangen af måneden. Tre kolonner: systemnavn, om det indeholder persondata, om der er fastsat slettefrist. I den ene kommune oplyste man selv 300 systemer. Datatilsynet konstaterede, at overblikket manglede. Samme påbud fire år senere i den anden kommune.
Sæt sletning på næste ledermøde som beslutningspunkt. Ikke orientering. Beslutning med ansvarlig og frist. Stil ét spørgsmål: Hvad er vi blevet advaret om, som vi ikke har gjort noget ved? Svaret er enten jeres handlingsplan eller jeres tilståelse.
En uafhængig cybersikkerhedsaudit kan afdække, om jeres organisation lever op til de krav, jeres egen databeskyttelsesrådgiver har dokumenteret, før Datatilsynet gør det for jer.
Hvornår fik I sidst en ekstern specialist til at gennemgå, om jeres sletterutiner matcher det, jeres egen rådgiver har anbefalet?
Har du brug for en uafhængig gennemgang af jeres GDPR-compliance og sletterutiner?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
