Slettefrister bør ikke bestemmes system for system uten en felles modell. Fristen må henge sammen med formålet, rettslig grunnlag, sikkerhetsbehov, dokumentasjonskrav, kontrakter og eventuelle plikter til å bevare logger eller teknisk dokumentasjon.
Sammenligning
| Regelverk | Hva styres | Hva må dokumenteres | Typisk feil |
|---|---|---|---|
| GDPRLagringsbegrensning | Personopplysninger, formål, slettefrister, arkivbehov og retten til sletting | Hvor lenge opplysninger lagres, hvorfor de trengs, hvem som eier fristen og hvordan sletting utføres | Beholde data "for sikkerhets skyld" uten aktivt formål, frist eller rettslig vurdering |
| EkomlovenCookies og lagring på utstyr | Cookie-levetid, samtykke, formål, nødvendighet og tredjepartsverktøy | Hvilke cookies settes, hvor lenge de varer, hva de brukes til og hvordan samtykke håndteres | Lang cookie-levetid eller sporingscookies uten reelt behov og gyldig samtykke |
| ISO 27001Dokumentert informasjon | Retensjon av dokumentert informasjon, revisjonsspor, avvik, risikoregistre og bevis for kontroller | Hvilke bevis som skal bevares, hvor de ligger, hvem som kan endre dem og når de kan slettes | Slette bevis for tidlig eller lagre alt uten klassifisering og tilgangskontroll |
| DORARegister og hendelsesspor | IKT-avtaleregister, hendelsesdata, testresultater, leverandørdokumentasjon og kontrollspor | At registeret er oppdatert, og at hendelser, tester og tredjepartsoppfølging kan etterprøves | Beholde avtaledata uten å knytte dem til risiko, kritikalitet og exit-plan |
| AI ActKI-dokumentasjon og logger | Teknisk dokumentasjon, logging, bruksinformasjon, risikostyring og samsvarsvurdering | Hva som må oppbevares for å vise samsvar, kontroll og menneskelig tilsyn | Slette modell- og beslutningsspor før virksomheten kan forklare hvorfor systemet gjorde som det gjorde |
| SikkerhetslovenSkjermingsverdig informasjon | Sikkerhetsgradert og skjermingsverdig informasjon, autorisasjon, tilgang og sporbar håndtering | Gradering, tilgang, beskyttelsestiltak, overføring, arkivering og destruksjon etter sikkerhetskrav | Bruke ordinære slette- og arkivrutiner på informasjon som krever særskilt sikkerhetsstyring |
Lag en fristmatrise
En god fristmatrise kobler datakategori, system, formål, rettslig grunnlag, sikkerhetsklasse, arkivplikt, slettefrist, ansvarlig eier og teknisk slettemekanisme. Den bør også vise hvilke logger og bevis som skal oppbevares lenger enn selve dataene.
Matrisen må testes. Ta stikkprøver i systemene, kontroller at sletting faktisk skjer, og dokumenter unntak der data må holdes tilbake på grunn av rettslige krav, tvist, sikkerhet eller revisjon.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: GDPR, ekomloven, DORA og sikkerhetsloven gjelder i Norge for virksomheter som omfattes. AI Act er fortsatt ikke fullt gjennomført i norsk rett, men krav til teknisk dokumentasjon og logging bør tas inn i styringen av oppbevaring for KI-systemer.