Les også: Hackerne brukte medlemslisten som innkjøpsliste
Da den franske skytterforeningen ble hacket i oktober 2025, lå det data om én million personer i systemet. Men bare 250 000 av dem var aktive medlemmer med gyldig lisens. Resten — 750 000 — var tidligere medlemmer som hadde sluttet for måneder eller år siden.
GDPR artikkel 5(1)(e) sier at personopplysninger ikke skal lagres lenger enn nødvendig for formålet. Når et medlem lar lisensen utløpe og ikke fornyer, finnes det sjelden en grunn til å beholde opplysningene. Hadde foreningen slettet de inaktive, ville tre av fire aldri blitt eksponert.
Det handler ikke bare om skytterforeninger. Idrettslag med barns personnummer. Pasientforeninger med helseopplysninger. Fagforeninger med arbeidsgiverdata. De fleste norske foreninger har et medlemsregister som vokser, men aldri krymper.
**Praktisk poeng:**
Åpne medlemsregisteret og filtrer på sist betalt kontingent. Alle som ikke har vært aktive på to år eller mer — trenger dere opplysningene deres? Definer en lagringstid for medlemsdata i foreningen og sett en årlig påminnelse om å rydde.
Inspirert av: Fédération Française de Tir