GDPR (General Data Protection Regulation) stiller klare krav til hvordan bedrifter håndterer personopplysninger. Men visste du at backup også er en del av dette?

Backup handler ikke bare om å beskytte data mot tap. Det handler også om å sikre at bedriften kan gjenopprette data når det er nødvendig, og samtidig slette data når loven krever det.

Her får du en enkel gjennomgang av hvordan Zalt sin backup-løsning hjelper bedriften din med å oppfylle GDPR-kravene.

GDPR og backup – to sider av samme sak

GDPR inneholder flere krav som påvirker hvordan bedrifter må håndtere backup:

1. Tilgjengelighet og gjenoppretting (Artikkel 32)

Bedriften må kunne gjenopprette tilgangen til personopplysninger raskt hvis noe skulle gå galt.

Eksempel: En server krasjer. Alle kundedata ligger der. Uten backup kan bedriften bryte GDPR, fordi de ikke lenger kan gi kundene tilgang til sine egne data.

Med Zalt sin backup kan dataene gjenopprettes raskt.

2. Rett til sletting (Artikkel 17)

Hvis en person ber om at deres personopplysninger slettes, må bedriften kunne gjøre dette – også i backupen.

Eksempel: En tidligere kunde ber om at all informasjon om dem slettes. Da må bedriften slette dataene i produksjonssystemene og i backup.

Med Zalt sin backup kan spesifikke data slettes eller filtreres ut ved gjenoppretting.

3. Datalagring i EØS (Artikkel 44–50)

GDPR krever at personopplysninger ikke overføres utenfor EØS uten gyldig grunnlag.

Eksempel: Hvis backup lagres i USA eller Asia, kan det bryte GDPR.

Med Zalt lagres all backup i Nederland (EU), i samsvar med GDPR-kravene.

4. Sikkerhet og kryptering (Artikkel 32)

Personopplysninger må beskyttes med «passende tekniske og organisatoriske tiltak». Det inkluderer kryptering.

Med Zalt er all backup kryptert – både under overføring og lagring.

Slik sikrer Zalt at backup er GDPR-compliant

Zalt sin backup-løsning er designet for å oppfylle GDPR fra dag én. Her er hva som gjøres for å beskytte dataene dine:

Datalagring i EU/EØS

  • All backup lagres i datasentre i Nederland
  • Dette er innenfor EU, og derfor i tråd med GDPR
  • Ingen data overføres til land utenfor EØS uten bedriftens samtykke

Kryptering på alle nivåer

Zalt bruker sterk kryptering for å beskytte dataene:

AES-256 kryptering i hvile

  • All data som lagres i backup er kryptet med AES-256
  • Dette er samme krypteringsstandard som brukes av banker og myndigheter
  • Ingen kan lese dataene uten autorisert tilgang

TLS 1.2/1.3 kryptering i transitt

  • Når data overføres fra bedriften til backup, brukes TLS 1.2 eller nyere
  • Dette sikrer at dataene ikke kan avlyttes underveis

Kundestyrt krypteringsnøkkel (BYOK)

  • Bedrifter med ekstra høye sikkerhetskrav kan bruke Bring Your Own Key (BYOK)
  • Det betyr at bedriften selv kontrollerer krypteringsnøkkelen
  • Ikke engang Zalt kan lese dataene uten bedriftens nøkkel

Tilgangskontroll og logging

Zalt sørger for at bare autoriserte personer har tilgang til backup:

Rollebasert tilgang

  • Kun de som trenger tilgang, får tilgang
  • Tilganger tildeles basert på rolle og behov

Detaljerte revisjonslogger

  • Alle handlinger i backup-systemet logges
  • Loggene inkluderer:
    • Hvem som har gjort hva
    • Når det ble gjort
    • IP-adresse og sesjonsinformasjon
  • Dette gjør det mulig å spore all aktivitet for compliance og revisjon

Sertifiseringer og standarder

Zalt sin backup-løsning følger anerkjente sikkerhets- og compliance-standarder:

SOC 2 Type II

  • Uavhengig revisjon av sikkerhet og kontroller
  • Dokumenterer at sikkerhetstiltak fungerer som de skal

ISO 27001

  • Internasjonal standard for informasjonssikkerhet
  • Dekker alle aspekter av datasikkerhet og compliance

Disse sertifiseringene gir trygghet for at backup-løsningen håndterer data på riktig måte.

E-discovery og compliance

GDPR krever at bedriften kan finne og dokumentere data ved behov. Zalt sin backup gjør dette enkelt:

Fulltekstsøk på tvers av backup

  • Søk etter e-poster, dokumenter eller filer fra en bestemt person
  • Finn alt relatert til en bestemt sak eller kunde
  • Nyttig ved revisjoner, juridiske krav eller GDPR-forespørsler

Eksportere data for innsyn

Hvis en person ber om innsyn i sine egne data (GDPR Artikkel 15):

  • Zalt kan søke i backup og finne all relevant informasjon
  • Dataene kan eksporteres i et lesbart format
  • Bedriften kan oppfylle innsynskrav raskt og presist

Slette data ved behov

Hvis en person ber om sletting (GDPR Artikkel 17):

  • Zalt kan identifisere og slette spesifikke data i backup
  • Eller filtrere ut dataene ved gjenoppretting
  • Dette sikrer at bedriften oppfyller retten til sletting

Oppbevaringstid og dataansvar

GDPR sier at personopplysninger ikke skal lagres lenger enn nødvendig. Men hva betyr det for backup?

Backup er ikke langtidslagring

Backup er en sikkerhetskopi som brukes til gjenoppretting ved feil eller dataslettelse. Det er ikke det samme som arkivering.

Bedriften bestemmer lagringstiden

Zalt sin backup-løsning lar bedriften selv bestemme hvor lenge data skal beholdes:

  • Typisk: 30 dager, 90 dager eller 1 år
  • Dette justeres basert på bedriftens behov og juridiske krav
  • GDPR tillater lengre lagring hvis det er nødvendig for forretningsdrift eller compliance

Automatisk sletting etter lagringstid

Når lagringstiden er ute, slettes dataene automatisk fra backup. Dette sikrer at bedriften ikke lagrer data lenger enn nødvendig.

Reelle scenarioer: Hvordan backup og GDPR henger sammen

Scenario 1: En tidligere kunde ber om sletting

En kunde avslutter kundeforholdet og ber om at alle deres data slettes.

Uten backup-kontroll: Bedriften sletter dataene i produksjonssystemene, men glemmer at de fortsatt ligger i backup. Dette kan bryte GDPR.

Med Zalt sin backup: Bedriften kan enten:

  • Slette dataene også i backup
  • Eller merke dem for filtrering, slik at de ikke gjenopprettes

Resultatet: GDPR-kravet om sletting oppfylles.

Scenario 2: Datatilsynet ber om dokumentasjon

Datatilsynet gjennomfører en kontroll og ber om dokumentasjon på hvordan bedriften håndterer personopplysninger.

Med Zalt sin backup:

  • Detaljerte revisjonslogger viser hvem som har hatt tilgang til hva
  • Sertifiseringer (SOC 2, ISO 27001) dokumenterer at sikkerhet er på plass
  • Backup-oppsett viser at data lagres i EU og er kryptert

Resultatet: Bedriften kan dokumentere at de oppfyller GDPR.

Scenario 3: Ransomware-angrep

Bedriften blir rammet av ransomware. Alle filer er kryptert. Angriperne krever løsepenger.

Med Zalt sin backup:

  • Dataene gjenopprettes fra backup
  • Ingen løsepenger betales
  • Personopplysninger er fortsatt tilgjengelige (GDPR Artikkel 32)

Resultatet: Bedriften oppfyller GDPR-kravet om tilgjengelighet og sikkerhet.

Med Zalt er bedriftens backup GDPR-compliant fra dag én

Du trenger ikke være jurist eller IT-ekspert for å forstå GDPR. Zalt tar seg av det meste for deg:

  • Data lagres i EU – i tråd med GDPR-krav
  • Kryptering på alle nivåer – AES-256 og TLS sikrer dataene
  • Tilgangskontroll og logging – kun autoriserte personer får tilgang
  • Søk og sletting – fulltekstsøk gjør det enkelt å oppfylle innsyns- og slettekrav
  • Sertifiseringer – SOC 2 Type II og ISO 27001 dokumenterer at sikkerheten er på plass

Med Zalt kan du være trygg på at backup-løsningen ikke bare beskytter dataene – den gjør det på lovlig og trygg måte.

Ofte stilte spørsmål om backup og GDPR

Må vi slette backup når en person ber om sletting?

Ja, GDPR krever at bedriften sletter personopplysninger også i backup. Men det finnes unntak hvis bedriften har legitim grunn til å beholde dataene (f.eks. regnskap, kontrakter, juridiske krav).

Zalt hjelper bedriften med å slette spesifikke data i backup eller filtrere dem ut ved gjenoppretting.

Er det lov å lagre backup i 7 år?

Ja, hvis bedriften har et lovlig grunnlag. For eksempel:

  • Regnskapsloven krever at regnskapsdata bevares i 5 år (eller lenger for enkelte dokumenter)
  • Kontraktsdata kan være nødvendig å beholde i flere år

GDPR sier at data ikke skal lagres lenger enn nødvendig. Men «nødvendig» inkluderer også juridiske og forretningsmessige behov.

Hva skjer hvis backup-leverandøren blir hacket?

Zalt sin backup er:

  • Kryptert med AES-256 (umulig å knekke uten nøkkel)
  • Lagret i sikre datasentre med fysisk og digital sikkerhet
  • Beskyttet av SOC 2 Type II og ISO 27001-sertifiseringer

Selv om noe skulle skje, er dataene beskyttet.

Kan vi bruke backup som arkiv?

Backup og arkiv er to forskjellige ting:

  • Backup er en sikkerhetskopi for å gjenopprette data ved feil
  • Arkiv er langtidslagring av data som ikke lenger er i aktiv bruk

Zalt sin backup kan brukes til kortsiktig oppbevaring (typisk 1–12 måneder). For langtidsarkivering bør bedriften vurdere dedikerte arkivløsninger.

Kan vi vise kunder at vi er GDPR-compliant?

Ja. Zalt kan gi deg dokumentasjon som viser:

  • Hvor data lagres (Nederland, EU)
  • Hvilken kryptering som brukes (AES-256, TLS)
  • Sertifiseringer (SOC 2 Type II, ISO 27001)

Dette kan brukes i kundekontrakter eller ved kundespørsmål om sikkerhet.

Spørsmål om backup og GDPR?

Er du usikker på om bedriftens backup er GDPR-compliant? Lurer du på hvordan Zalt håndterer data, kryptering eller slettekrav?

Kontakt Zalt for en uforpliktende gjennomgang av bedriftens backup og GDPR-status. Vi viser deg nøyaktig hva som er på plass — og hva som eventuelt bør forbedres.