PERSONDATA

Temaet er skrevet af Tine Østergård og Hanne Hauerslev

Pas på personoplysningerne

Kast et blik på din forretning og se, om du passer tilstrækkeligt på de data, som du behandler. Hvis ikke, så må du skabe nye rutiner, der sikrer, at I har den rigtige adfærd på kontoret. Sådan lyder et af rådene fra formanden for Advokatrådets procesretsudvalg til de advokater, der lige nu arbejder for at leve op til de nye databeskyttelsesregler.

Ordentlighed og ansvarlighed. Det er to ord, der matcher de nye persondataregler helt perfekt.

Basalt set handler det nemlig om at tage ansvar for og holde orden i de mange personoplysninger, som advokaten dagligt behandler, og om at have rutiner, der sikrer, at man samtidig kan påvise, at man overholder de nye databeskyttelsesregler.

- Det er præcis med de nye databeskyttelsesregler som med reglerne om hvidvask og prisoplysninger: Advokater skal leve op til kravene, og det forudsætter en række nye rutiner. Når det gælder databeskyttelse, er skæringsdatoen 25. maj, og det betyder, at man fra denne dato skal kunne påvise, at reglerne om behandling af personoplysninger efterleves, lyder det fra Claus Guldager, der er formand for Advokatrådets procesretsudvalg, og som har persondata som et speciale.

Han har igennem de seneste par år rundt om i landet undervist andre advokater i databeskyttelsesreglerne – blandt andet på møder i de otte advokatkredse. Ofte bliver han mødt med spørgsmålet om, hvordan man får ”spist den elefant”, som advokatfirmaet står overfor, når de nye regler skal implementeres.

- Det føles ofte som en stor opgave – men som med så meget andet handler det om at bryde opgaven ned i mindre bidder. Som advokat har du ofte mange forskellige roller. Få de forskellige roller defineret. Du rådgiver klienter, du er kurator, du har bestyrelsesposter, og måske sidder du i Advokatnævnet eller fungerer som voldgiftsdommer. Mit bedste råd er, at du herefter skal hæve dig op i helikopteren for at se på, hvordan du behandler personoplysninger i hver af dine roller.

- Når du har identificeret de personoplysninger, som du har indhentet eller er blevet betroet, må du forholde dig til, om behandlingen er i overensstemmelse med god persondatabehandlingsskik, om der er hjemmel til behandlingen, og om de organisatoriske og tekniske sikkerhedsforanstaltninger er tilstrækkelige. Dernæst bør du sørge for, at du overholder pligten til at informere de registrerede personer om deres rettigheder. Endelig skal du tænke i dokumentation, der er noget af det nye for os advokater, der jo allerede i kraft af reglerne om god advokatskik dagligt tænker i ordentlighed, ansvarlighed og fortrolighed, forklarer Claus Guldager.

Hold styr på din databehandler

Da advokatens rolle oftest er som dataansvarlig, skal advokaten have styr på sine databehandlere. Der skal indgås databehandleraftaler med enhver databehandler.

- Som dataansvarlig, der eksempelvis hoster data eksternt, skal du sikre, at den valgte løsning lever op til databeskyttelseskravene. Det er vigtigt, at der ligger en databehandleraftale, hvor databehandleren garanterer, at behandlingen overholder reglerne.

Når dit IT-system lever op til kravene om sikkerhed, og dine databehandleraftaler er på plads, skal der udarbejdes procedurer og skabes intern awareness, så alle i organisationen efterlever reglerne i de daglige rutiner.

- Rutinerne skal gennemsyres af ansvarlighed. Risikoen for, at uvedkommende får adgang til personoplysninger, skal begrænses. Det skal ske dels ved organisatoriske foranstaltninger, og dels tekniske. Du skal vænne dig til at tænke over, om filer skal krypteres, forsynes med adgangskoder eller måske sendes til modtagerens e-boks. Det skal også være en rutine at logge af din computer, når du forlader den, og at sikre løbende udskiftning af adgangskoder. Også adgangen til sagsoplysninger skal begrænses, sådan at det ikke er alle kollegaer, der har adgang – men alene den snævre kreds af kollegaer, der har behov for at kunne tilgå data. Tankegangen skal i det hele taget være, at alle personoplysninger – uanset om de behandles fysisk eller elektronisk – skal håndteres fortroligt. Men i virkeligheden er der ikke så meget nyt i det, for du lader jo heller ikke sagsmapper ligge og flyde, så uvedkommende har mulighed for at kaste et blik i dem, siger Claus Guldager.

Når du får oplysninger, du ikke skal bruge

Af de nye regler fremgår det, at du som advokat kun må behandle personoplysninger, som du har hjemmel til at behandle.

- Behandling af personoplysninger er ganske enkelt forbudt, medmindre der findes en konkret hjemmel. Du må derfor ikke indhente identifikationsoplysninger i alle sager bare for at være sikker på at overholde eksempelvis hvidvaskreglerne. Hvis du gør det, vil du i mange tilfælde overtræde databeskyttelsesreglerne.

Hvordan skal advokaten så forholde sig til modtagne personoplysninger, som han eller hun ikke har brug for i sin sagsbehandling?

- Hvor du som advokat tidligere måske ville lægge dem ind i sagen og undlade at behandle dem, skal du nu – sat på spidsen – undlade at behandle sådanne oplysninger. Advokater har jo pligt til at søge faktum tilstrækkeligt oplyst, og det er ikke nemt at sige noget generelt om, hvornår behandling af personoplysninger er unødvendig. Men det er altså vigtigt at være opmærksom på, at der alene skal behandles tilstrækkelige og nødvendige oplysninger. Overflødige oplysninger skal slettes, og netop sletterutinerne er vigtige, siger Claus Guldager.

Det leder til næste spørgsmål – nemlig hvor lang tid du som advokat har pligt til at opbevare data. Udgangspunktet er stadig fem år, men der kan være behov for længere tid, for eksempel for senere at kunne foretage effektive konflikttjek, siger Claus Guldager, der opsummerende har dette råd til alle advokater, der står overfor at skulle i gang med det arbejde, der skal gøre kontoret compliant i forhold til de nye databeskyttelsesregler.

- Pas godt på de personoplysninger, som omverdenen betror dig. De er betroet dig i tillid. Personoplysninger skal behandles ordentligt og ansvarligt. Tavshedspligten er en del af vores DNA – det skal ansvarlig behandling af personoplysninger også være.  Kast et blik på din forretning og se, om du passer på og rydder op i de personoplysninger, som du har liggende – og hvis ikke, så skab nye rutiner, der sikrer den rigtige adfærd. Og husk, at den rigtige adfærd skal kunne bevises.

Claus Guldager

Advokat og partner i Andersen Partners. Formand for Advokatrådets procesretsudvalg. Specialiseret i persondata.

Persondataforordningen giver et kvalitetsstempel

Den nye persondataforordning er med til at sikre, at advokater passer godt på kundernes oplysninger, og at kunderne kan føle sig trygge, og det er et kvalitetsstempel. Det mener advokaterne Karina Søndergaard og Casper Nørgaard fra HjulmandKaptain, som dog ikke lægger skjul på, at forordningen er en tidsrøver – især fordi alle medarbejdere skal guides i de nye regler.

Det bliver en større opgave! Sådan tænkte advokaterne Karina Søndergaard og Casper Nørgaard fra HjulmandKaptain, da de skulle i gang med arbejdet med den nye persondataforordning. De var overbeviste om, at det ville blive en udfordring at få reglerne implementeret i en stor virksomhed med mange medarbejdere, som gør tingene på hver sin måde. Og det viste sig, at de havde ret, men opgaven er ikke umulig – langtfra.

- Det virkede som en stor mundfuld i starten. Både at sætte sig ind i de nye regler, men også at få medarbejderne til at ændre vaner og hoppe med på den nye måde at gøre tingene på. Vi fik dog hurtigt lavet en plan, som sikrer, at alle medarbejdere kender de nye regler og arbejdsgange, siger Karina Søndergaard, som er ansvarlig for at implementere den nye persondataforordning hos HjulmandKaptain.

Sammen med Casper Nørgaard, som er managing partner, en IT-chef og en jurastuderende startede hun arbejdet med de nye persondataregler op for et års tid siden. Og nej, de er ikke 100 procent i mål endnu, men de skal nok nå det inden den 25. maj 2018, fra hvilken dato persondataforordningens regler finder anvendelse. 

- Mit råd til andre advokatvirksomheder er, at de ikke nødvendigvis skal gå efter en 110 procents løsning lige fra begyndelsen af projektperioden, men derimod arbejde sig igennem de faser, som implementeringsarbejdet kræver. Det er selvfølgelig afgørende, at advokatvirksomheden overholder dokumentationskravet i forordningen den 25. maj, men jeg tror derudover, at man skal acceptere, at dokumenterne er dynamiske og løbende skal opdateres og ajourføres, eksempelvis hvis man ændrer forretningsgange, eller der kommer ny praksis. Man skal med andre ord tillade sig selv at blive klogere undervejs og udvælge en, som er ansvarlig for at holde sig ajour på de nye regler, siger Casper Nørgaard.

Og selvom de nye regler er tidskrævende, og nogle af dem kan være udfordrende at få til at hænge sammen med arbejdet i hverdagen, så er den nye forordning en god idé, mener både Karina Søndergaard og Casper Nørgaard.

- Om der er en mening med galskaben? Ja, det er der i bund og grund. Advokater skal passe på de oplysninger, de får fra kunderne, og det er et kvalitetsstempel, at der er styr på behandlingen af dem. Vi kan ikke fungere, hvis vi ikke håndterer personoplysninger ordentligt, og hvis kunderne ikke har tillid til os. Den nye persondataforordning er med til at sikre, at kunderne kan være trygge, og det er en god ting, siger Karina Søndergaard.

Møder med alle afdelinger

Karina Søndergaard og Casper Nørgaard har grebet processen systematisk an. De har læst grundigt op på reglerne, blandt andet ved at søge information i EU’s materiale, i den nuværende persondataforordning og ved at holde sig opdateret, når der kommer nye vejledninger fra Datatilsynet. Derudover har de i samarbejde med IT-chefen kortlagt alle behandlingsaktiviteter og sat nogle løbende deadlines. En af de vigtigste opgaver er ifølge Karina Søndergaard og Casper Nørgaard at informere alle afdelinger om de nye regler og sammen vedtage nogle arbejdsgange, som er i overensstemmelse hermed.

- Vi har løbende holdt møder med de forskellige afdelinger. På møderne deltager typisk en afdelingsleder, en jurist og en eller to sekretærer. Her taler vi hele arbejdsprocessen igennem, blandt andet hvordan man skal håndtere modtaget data, herunder om der skal indhentes samtykke, hvad behandlingsgrundlaget er, og hvordan vi skal håndtere sletning af data. Der er en hel masse ting at tage stilling til, og vi bruger især lang tid på de afdelinger, der behandler mange følsomme personoplysninger, siger Karina Søndergaard. 

Derudover har HjulmandKaptain opdateret sin informationssikkerhedspolitik og udarbejdet en informationssikkerhedshåndbog. Håndbogen indeholder blandt andet regler om, hvordan medarbejderne skal behandle og passe på personoplysninger i hverdagen, og håndbogen bliver løbende opdateret. Mange afdelinger har også selv lavet arbejdsbeskrivelser, hvilket er et godt værktøj til især nye medarbejdere, som ikke kender arbejdsgangene i afdelingen.

Vi har også oplevet, at kollegaer af egen drift stiller spørgsmål til persondatareglerne, mens andre medarbejdere måske tænker mindre over de nye regler, fordi de ikke i samme omfang behandler personoplysninger i deres daglige arbejde.

Konkrete tiltag

Helt konkret har HjulmandKaptain vedtaget nogle klare regler for, hvordan sagsbehandling skal håndteres, og hvem der har adgang til sagerne.

- Vi bruger Advosys til sagsbehandling. Det er meget vigtigt, at alle medarbejdere bruger systemet og gemmer både e-mails og dokumenter samme sted. Vi skal huske på, at de nye persondataregler betyder, at man som registreret kan anmode om at få slettet eller indsigt i alle data om sig selv – og den anmodning kan vi kun imødekomme, hvis vi har styr på, hvor vi gemmer data, og det kan være en udfordring, hvis medarbejderne for eksempel har gemt e-mails eller dokumenter i deres egne mailindbakker, siger Casper Nørgaard.

Derudover har HjulmandKaptain etableret adgangsbegrænsning på hver enkelt sagstype, så udgangspunktet er, at alle sagstyper er lukkede, og at der kun bliver givet adgang for dem, der er involveret i sagen.

HjulmandKaptain har desuden indkøbt et system, som hjælper firmaet med at kontrollere, at reglerne bliver overholdt.

- Vi lægger vores politikker ind i systemet og navngiver en ansvarlig for hvert område. Herefter sørger systemet for at sende en mail til den ansvarlige en gang om året, hvor der står, at det er tid til at gennemgå politikken og tjekke, om der er noget, der skal ændres. Hvis ja, så sørger den ansvarlige for at give information til de relevante medarbejdere om, at de skal læse og forholde sig til den nye politik, siger Karina Søndergaard.

Det kan selvfølgelig være vanskeligt at sikre, at alle medarbejdere i en virksomhed med næsten 150 ansatte – som i HjulmandKaptain – læser og overholder retningslinjerne, men her handler det om tillid til den enkelte medarbejder.

- Vi sørger for at sige tingene så mange gange, at nogle af vores kollegaer sikkert bliver trætte af at høre på os. Vi har også planer om at tage nogle stikprøver for at sikre, at reglerne bliver overholdt, men mest af alt har vi tillid til medarbejderne og tror på, at de lytter efter, siger Casper Nørgaard.

En stor mundfuld

Karina Søndergaard og Casper Nørgaard er positivt overraskede over, hvor stor interesse hver afdeling har haft for at få information om de nye regler og deres betydning for arbejdsgangene, og hvor mange der har budt ind med spørgsmål. Men det ændrer ikke på, at det har været en stor opgave at implementere reglerne.

- Opgaven er lige så stor, som vi havde regnet med. Det har været en tidskrævende opgave at beskrive processen for hvert enkelt fagområde – for uanset hvor ens eller uens afdelingerne skal behandle personoplysninger, har vi valgt at drøfte reglerne i persondataforordningen med alle, og det har taget rigtig lang tid.

Karina Søndergaard

Advokat i HjulmandKaptain. Specialiseret i persondataret. Ansvarlig for implementering af den nye persondataforordning i HjulmandKaptain.

Casper Nørgaard

Advokat og Managing Partner i HjulmandKaptain. Med til implementering af den nye persondataforordning i HjulmandKaptain.

Kort og godt om persondata

Den nye databeskyttelsesforordning finder anvendelse fra 25. maj 2018. Forordningen suppleres af databeskyttelsesloven, som forventes vedtaget af Folketinget i løbet af foråret 2018.

De nye regler om persondata indebærer en række nye krav til virksomheder, offentlige myndigheder og andre, der håndterer personoplysninger – det gælder også advokater.

Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person. Behandling er enhver form for håndtering af personoplysninger – fra indsamling til sletning.

Datatilsynet er tilsynsmyndighed i forhold til advokaters overholdelse af databeskyttelsesreglerne.

Advokatsamfundet er på vej med en vejledning til persondataforordningen. Vejledningen kan findes på Advokatsamfundet.dk.

 
Q&A

Hvilke oplysninger behandler du?

De nye persondataregler finder anvendelse på personoplysninger. Det vil sige oplysninger, der kan henføres til bestemte personer. Du bør danne dig et overblik over, hvilke personoplysninger du behandler. Der skelnes grundlæggende mellem almindelige og følsomme personoplysninger. Jo mere følsomme oplysningerne er, jo strengere er betingelserne for at kunne behandle oplysningerne.

Dataansvarlig eller databehandler?

Det er af helt afgørende betydning, at du får afklaret, hvad din rolle er, inden du begynder at behandle personoplysninger, fordi kravene til en dataansvarlig adskiller sig fra kravene til en databehandler. Det er den dataansvarlige, der står på mål for, at reglerne om persondata overholdes.

Hvad er dit behandlingsgrundlag, og er databehandlingsprincipperne overholdt?

Du må behandle personoplysninger, hvis der er et grundlag for behandlingen (en hjemmel), og hvis de grundlæggende principper for behandlingen er iagttaget. Hjemlen kan for eksempel være en kontrakt eller en retlig forpligtelse.

Er de registreredes rettigheder overholdt?

De personer, som du har registreret oplysninger om, har en række rettigheder. Du har blandt andet en oplysningspligt, som betyder, at du skal give den registrerede en række grundlæggende oplysninger omkring din databehandling. Den registrerede har også ret til at få indsigt i, hvilke oplysninger du har registreret om vedkommende.

Har du procedurer for sletning?

Du bør overveje, hvor lang tid du gemmer personoplysninger og iværksætte nogle procedurer for, hvornår oplysningerne bliver slettet. Det skyldes, at du er underlagt et princip om opbevaringsbegrænsning, og at den registrerede har ret til at få slettet sine oplysninger igen, når det ikke længere er nødvendigt for dig at have oplysningerne.

Opfylder du dokumentationskravet (fortegnelseskravet)?

I praksis betyder fortegnelseskravet, at du skal føre en skriftlig fortegnelse over behandlingsaktiviteter i din virksomhed. Formålet med fortegnelsen er at kunne dokumentere, hvordan databeskyttelsesreglerne efterleves.

Lever din behandling op til et passende sikkerhedsniveau?

På samme måde som du advokatetisk har en pligt til at opbevare sagsakter på en sikker og hensigtsmæssig måde, skal du efter databeskyttelsesreglerne også sikre dig, at din behandling af personoplysninger lever op til et passende sikkerhedsniveau.

Har du en procedure for anmeldelse af sikkerhedsbrud?

Sker der brud på persondatasikkerheden, skal du som dataansvarlig uden unødig forsinkelse og senest 72 timer efter at være blevet bekendt med bruddet, anmelde bruddet til Datatilsynet. I nogle situationer skal du også orientere de berørte registrerede personer.

Hvad er sanktionerne?

Med forordningen sker der en væsentlig forøgelse af bødestørrelsen for overtrædelser af forordningen sammenlignet med, hvad de nuværende regler giver mulighed for. For manglende efterlevelse af reglerne kan du straffes med bøder på op til 10 millioner euro eller 2 procent af virksomhedens samlede globale årlige omsætning. For manglende efterlevelse af visse regler kan du straffes med bøder på op til 20 millioner euro eller 4 procent af virksomhedens samlede globale årlige omsætning.

Kilde: Advokatsamfundet

Læs mere på Datatilsynet.dk, hvor du kan finde vejledninger om databeskyttelsesforordningen.