Dataopbevaring i afstemninger

Indhold

• Hvad er dataopbevaring i afstemninger?
• Typer af valgdata
• Juridiske opbevaringskrav
• GDPR og dataopbevaring
• Opbevaringsperioder efter datatyper
• Sikker dataopbevaring
• Datasletningsprocedurer
• Revision af sporbevaring
• Udfordringer ved dataopbevaring
• Bedste praksis for valgdatastyring

---

Dataopbevaring i afstemninger henviser til de politikker og praksisser, der styrer, hvor længe valgrelaterede data opbevares efter et valg er afsluttet. Organisationer skal balancere behovet for at bevare optegnelser for juridisk overholdelse, konfliktløsning og revisionsformål mod forpligtelsen til at slette persondata, når de ikke længere er nødvendige – særligt under GDPR.

Hvad er dataopbevaring i afstemninger?

Hvert onlinevalg genererer data: vælgerlister, autentifikationslogfiler, krypterede stemmesedler, resultater og systemlogfiler. Dataopbevaringspolitikker definerer, hvor længe hver kategori af data opbevares, hvordan de beskyttes under opbevaring, og hvornår og hvordan de sikkert slettes. Disse politikker skal overholde gældende lovgivning, samtidig med at de understøtter organisationens styringsbehov.

Typer af valgdata

Onlinevalg genererer flere kategorier af data med forskellige opbevaringskrav:

• Vælgerregistreringsdata: Navne, e-mailadresser, berettigelsesstatus
• Autentifikationslogfiler: Loginoptegnelser, to-faktor-autentifikation begivenheder
• Stemmeopgørelsesdata: Krypterede stemmer og tilhørende kryptografiske beviser
• Resultatdata: Stemmeoptællinger, flertalsberegninger, resultatoptegnelser
• Systemlogfiler: Tekniske logfiler om platformens drift og begivenheder
• Valgprotokoller: Formelle dokumentationer af valgprocessen
• Kommunikationsoptegnelser: Invitationer, påmindelser og meddelelser sendt til vælgerne

Juridiske opbevaringskrav

Opbevaringskrav varierer efter jurisdiktion og organisationstype:

• Selskabsret: Aktionærvalgs optegnelser kan være nødvendige at opbevare i 10 år eller mere
• Foreningsret: Mødereferater og valgresultater skal ofte opbevares for organisationens levetid
• Arbejdsret: Optegnelser fra arbejdstagervalgsråd kan have specifikke opbevaringsperioder
• Skattelov: Økonomiske beslutninger godkendt ved afstemning kan være nødvendige at opbevare for skatteoverholdelse
• Valgregulativer: Nogle jurisdiktioner angiver minimumsopbevaringsperioder for valgoptegnelser

GDPR og dataopbevaring

GDPR's opbevaringsbegrænsningsprincip (Artikel 5(1)(e)) kræver, at persondata kun opbevares, så længe det er nødvendigt til det formål, det blev indsamlet. For valgdata betyder det, at personlige oplysninger om vælgere skal slettes efter valgets formål er opfyldt, opbevaringen skal være begrundet med en specifik retsgrundlag, registrerede (vælgere) skal informeres om opbevaringsperioder, og anonymisering bør overvejes som et alternativ til sletning, hvor aggregerede data stadig er nødvendige.

Opbevaringsperioder efter datatyper

Forskellige datakategorier kræver forskellige opbevaringsperioder:

• Personlige oplysninger om vælgere: Slet efter udløbet af indsigelsesperioden (typisk 30–90 dage efter valget)
• Autentifikationslogfiler: Opbevare i varigheden af enhver mulig indsigelsesperiode
• Krypterede stemmesedler: Opbevare, indtil resultaterne er certificerede og enhver indsigelsesperiode er udløbet
• Resultatdata: Opbevare for organisationens krævede arkiveringsperiode (ofte år)
• Valgprotokoller: Opbevare permanent som en del af organisationens optegnelser
• Systemlogfiler: Opbevare i en begrænset periode for teknisk fejlfinding (30–90 dage)

Sikker dataopbevaring

Under opbevaringsperioden skal valgdata opbevares sikkert:

• Kryptering ved opbevaring: Alle lagrede data bør være krypteret
• Adgangskontrol: Kun autoriseret personale bør have adgang til valgdata
• Adskillelse: Valgdata bør opbevares separat fra andre organisatoriske data
• Backup-beskyttelse: Backups skal være underlagt de samme opbevarings- og sletningspolitikker
• Geografisk placering: Datahostingens placering skal overholde reglerne om grænseoverskridende overførsel

Datasletningsprocedurer

Når opbevaringsperioden udløber, skal data slettes sikkert:

• Kryptografisk sletning: Ødelæggelse af krypteringsnøgler gør krypterede data permanent utilgængelige
• Sikker overskrivelse: Flere overskrivningsgange sikrer, at data ikke kan gendannes
• Sletningscertifikat: Dokumentation for, at sletningen blev udført korrekt
• Backup-oprydning: Sikring af, at slettede data også fjernes fra backups
• Verifikation: Bekræftelse af, at sletningen var fuldstændig og uigenkaldelig

Revision af sporbevaring

Selvom personoplysninger om vælgere skal slettes i henhold til opbevaringsplanerne, kan visse elementer i revisionssporene have brug for længere opbevaring til styringsformål. Udfordringen er at opretholde nok information til at demonstrere, at valget blev gennemført korrekt, samtidig med at man fjerner data, der kunne identificere individuelle vælgere eller deres valg.

Udfordringer ved dataopbevaring

Organisationer står overfor flere udfordringer med at administrere valgdataopbevaring:

• Modstridende krav: Forskellige love kan angive forskellige opbevaringsperioder for de samme data
• Løbende tvister: Juridiske udfordringer kan kræve forlængelse af opbevaringen ud over standardperioder
• Teknisk kompleksitet: Sikring af fuldstændig sletning på tværs af alle systemer og backups
• Grænseoverskridende hensyn: Internationale organisationer kan stå overfor varierende krav afhængigt af jurisdiktion
• Historiske data: Historiske valgdata fra før opbevaringspolitikker blev etableret

Bedste praksis for valgdatastyring

Organisationer bør etablere en klar dataopbevaringspolitik inden gennemførelsen af onlinevalg, dokumentere det juridiske grundlag for hver opbevaringsperiode, implementere automatiserede sletteskemaer i afstemningsplatformen, opretholde anonymiserede resultatoptegnelser adskilt fra persondata, regelmæssigt revidere overholdelse af opbevaringspolitikker, og kommunikere opbevaringspraksis til vælgerne gennem privatlivsmeddelelser.