Mange mindre virksomheder har ikke styr på håndteringen af personoplysninger

I vores opgavehåndtering og gennem netværk ser vi desværre, at mange mindre virksomheder ikke har helt styr på den elektroniske håndtering af personoplysninger. Ofte skyldes det, at det kan være svært at gennemskue, hvad der er minimumskrav i forhold til egne aktiviteter, og dermed også hvordan man rent praktisk kan gribe dataansvarligheden an i egen virksomhed.

 Hos Brinkland & Co. hjælper vi løbende kunder med optimering også gennem digitaliseringsprocesser, herunder med den praktiske håndtering af elektroniske personoplysninger, så det hænger sammen for kunden i hverdagen.

 Med samme praksisnære tilgang har jeg sammen med Københavns Professionshøjskole tillige tilrettelagt DPO-uddannelse (databeskyttelsesrådgiver) for de studerende på Katastrofe- og Risikomanageruddannelsen i efteråret 2022.

 Det er vores erfaring, at den gennemsnitlige danske virksomhed med få indsatspunkter kan få styr på den elektroniske håndtering af personoplysninger.

Fremmedsprog er med til at gøre tingene sværere at forstå

Hvis man prøver at google sig frem til mulige løsninger omkring virksomhedens elektroniske håndtering af personoplysninger, støder man på et væld af rådgivere, der ofte skriver på engelsk og indforstået.

 GDPR-rådgivere…. GDPR er en forkortelse af General Data Protection Regulation, som betyder databeskyttelseslovgivning…. lovgivningen om håndtering af personoplysninger. Rådgiverne skriver, at vi skal være ”compliant”. ”Compliance” betyder, at vores aktiviteter skal overholde lovgivningen.

Det er netop brugen af sådanne formuleringer, der kan være med til at gøre arbejdet med at få styr på dataansvarligheden i egen virksomhed uoverskueligt. Men rådgiverne lever jo også af at finde nye kunder….

Datatilsynets vejledninger er nemme at gå til, de er på dansk og gratis.

https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/vejledninger-i-pdf-format

Mange af informationerne på internettet handler om, hvordan de offentlige myndigheder skal håndtere deres personoplysninger. Artikler om svigt handler også ofte om forsømmelser hos de offentlige myndigheder.

Men der er afgørende forskel på kravene til offentlige virksomheder og den gennemsnitlige private virksomhed. Det offentlige håndterer oplysninger om borgerne på en helt anden måde end det private, og skal derfor være ekstra omhyggelige.

Databeskyttelseslovgivningen stiller kun krav til håndteringen af oplysninger vedrørende identificerbare personer. Det kan man godt komme til at overse, hvis man efter at have læst en overskrift om Datatilsynets kontrol bliver grebet af panik for ikke at være ”compliant”.

Er det nødvendigt at håndtere følsomme personoplysninger?

Første skridt mod god dataansvarlighed er at finde ud af, hvor virksomheden håndterer personoplysninger elektronisk i sine aktiviteter, og hvilke typer af oplysninger der i givet fald er tale om.

Her er det vigtigt at være skarp på, om virksomheden håndterer følsomme personoplysninger. Sådanne oplysninger bør virksomheden kun håndtere, hvis der er direkte brug for oplysningerne. Ud over de sidste fire tal i CPR-nummeret, er det oplysninger om f.eks. sygdomsdiagnoser (men ikke antallet af sygedage) samt fagforeningsmæssige og religiøse tilhørsforhold.

Da der er stor forskel på kravene til virksomheder, som elektronisk kun håndterer almindelige personoplysninger og så virksomheder, der også håndterer følsomme personoplysninger, er det værd at overveje, om de følsomme personoplysninger strengt taget er nødvendige for kerneaktiviteterne.

En af vores kunder oplever f.eks., at deres kunder fortæller rigtigt meget om egen situation uden at være opfordret til dette, herunder om sygdom og andre meget personlige udfordringer. Disse oplysninger har vores kunde reelt ikke brug for i sin opgaveløsning.

Her talte vi om, at kundens ansatte skulle sørge for ikke at notere alt systematisk og kun gemme de oplysninger, der strengt taget er nødvendige for, at virksomheden kan udføre sit arbejde for sine kunder.

Arbejdsgivere håndterer også personoplysninger om medarbejderne og ofte elektronisk

Vi ser af og til, at man i en virksomhed har fokus på at have den helt rigtige håndtering af oplysninger om kunder og besøgende på virksomhedens hjemmeside, men man overser, at virksomheden også elektronisk håndterer personoplysninger vedrørende de ansatte f.eks. navn, adresse, lønforhold samt antallet af sygedage.

Det er med afsæt i oplysningspligten, vi har persondatapolitik og bruger ”cookies” på vores hjemmesider, hvor vi giver hver enkelt besøgende mulighed for at fravælge, at vi registrerer vedkommendes rundrejse på hjemmesiden.

Oplysningspligten betyder også, at virksomheden skal informere den enkelte ansatte, hvis vi håndterer oplysninger om den ansatte elektronisk. Dette kan man f.eks. gøre som en fast arbejdsgang i ansættelsesprocessen, når man får nye medarbejdere.

For nuværende medarbejdere er det ok at afholde et personalemøde med referat, hvor arbejdsgiveren informerer.

Skriftlighed er vigtig, hvis virksomheden senere skal dokumentere overfor Datatilsynet, at oplysnings- og andre pligter er overholdt.

Husk også at tjekke op på, hvor data om de ansatte ligger fysisk. De fleste mindre virksomheder benytter eksterne systemer til forskellige opgaver i forbindelse med medarbejderadministrationen f.eks. økonomisystemet og lønsystemet.

Ligger data om medarbejdere eller besøgende på hjemmesiden m.fl. fysisk hos virksomhedens leverandør, er det nødvendigt at have en databehandleraftale med leverandøren omkring håndteringen af personoplysninger og sikkerhed.

Arbejdet med kunderejsen er et godt værktøj også til god dataansvarlighed

Datatilsynet kræver, at I kan fremvise en fortegnelse over virksomhedens aktiviteter omfattet af lovgivningen om håndtering af elektroniske personoplysninger.

Af fortegnelsen skal det bl.a. fremgå, hvilke grupper af individer virksomheden indsamler oplysninger om (f.eks. ”besøgende på hjemmesiden”, ”kunder” eller ”medarbejdere”).

Det er vores erfaring, at de fleste virksomheder med en hjemmeside faktisk allerede har styr på dette. Det er nemlig præcis de samme overvejelser, vi sidder med, når vi arbejder strategisk med kunderejsen for at fastholde besøgende på hjemmesiden som kunder.

Men man skal selvfølgelig også huske at få den eventuelle håndtering af elektroniske oplysninger om ansatte og frivillige med i fortegnelsen.

Datebehandleraftaler er ofte ensidigt fastsat af leverandøren

Kravet om databehandleraftaler er for mange virksomheder ofte det sværeste at få helt styr på. Ikke mindst fordi mindre virksomheder tit kan vælge mellem at tage imod den databehandleraftale, som leverandøren tilbyder, eller helt at lade være med at benytte leverandøren.

Du har brug for en databehandleraftale, bl.a. hvis virksomhedens leverandør håndterer personoplysninger for jer via cloud-løsninger (OneDrive, Outlook m.v.), eller hvis hjemmesiden ligger hos en leverandør, og I beder besøgende på hjemmesiden kontakte jer via en mailform.

For mange af os kan arbejdsdagen ikke hænge sammen uden de store amerikanske leverandørers IT-systemer. Og her kan der være en særlig udfordring, da datamyndighederne i EU mener, dataansvarligheden ikke er lige så god i USA som indenfor EU.

Men det er de amerikanske leverandører ofte opmærksomme på, og tilbyder forskellige løsninger. Bl.a. tilbyder flere af dem at håndtere opgaver for kunder indenfor EU fra en fysisk placering i EU.

Indsamler du information om, hvem der besøger din hjemmeside, og den besøgendes rundrejse på hjemmesiden, håndterer du personoplysninger. En besøgendes IP-adresse er også en personoplysning.