18. maj 2018

Persondataforordning råd nr. 3

Persondataforordningen venter lige rundt om hjørnet. Men har din virksomhed styr på, hvordan I lever op til forordningen? Her i maj, hvor forordningen træder i kraft, kan du læse Redmarks anbefalinger og 5 gode råd. Vi er nået til det 3. gode råd fra Redmarks ekspert i persondataforordningen og det handler om processer og kultur. Vi skal også se på ”sletning”.

Redmarks ekspert i persondataforordningen og statsautoriseret revisor, Mark Leerdrup, giver i en serie på fem gode råd hans bud på, hvordan mindre og mellemstore virksomheder kommer tættere på målet. Vi har tidligere fået styr på, hvilke persondata virksomheden har og hvordan systemsikkerheden er. Det næste gode råd er: få processerne gjort simple og tænk over hvordan sletning skal foretages.

 

1. Skal vi ændre adfærd?

”For lige at opsummere, så fandt vi tidligere ud af hvilke persondata vi har, hvem der har adgang og hvilke systemer, der håndterer data og sikkerheden heri”.

”Som udgangspunkt vil I skulle lave en beskrivelse af hvordan data kommer ind, til hvem og i hvilket system. Dernæst hvordan data kører rundt i jeres virksomhed, hvordan og til hvem - og hvordan data overlades/videregives ud af virksomheden. I kan gøre det i et flow-chart eller bare som en beskrivelse i et dokument – og det kan være en omfattende øvelse. Men for mig at se, er der en genvej til at gøre det simpelt i de fleste mindre virksomheder og samtidig opnå nogle gevinster”, siger Mark Leerdrup.

”Vi har fået en kultur, hvor vi deler enormt meget viden og data internt i virksomhederne. Vi inddrager og orienterer mange personer om både stort og småt, bl.a. når vi sender emails. Jeg skal slet ikke tale imod vidensdeling i andre henseender – men kulturen er altså ikke forenelig med persondata-håndtering og er samtidig en af årsagerne til, at der skal tegnes lidt for store flow-charts” mener Mark.

”I skal tænke over, at persondata fra start bør komme det rigtige sted hen, til den rigtige medarbejder. Denne medarbejder skal så holde godt fast i data og ikke videresende til for mange via email eller bruge fællesdrev, hvor der ikke er adgangsbegrænsning. Jeg synes, at det kræver en klar email-politik, hvis emails skal anvendes til persondata og i nogle tilfælde kan fysisk print være at foretrække, fordi det nemt kan sikres og slettes efterfølgende. Vi kommer lige tilbage til sletning, men pointen er, at jo færre der har adgang til data, jo mindre bliver flow-charts og jo kortere bliver beskrivelserne”.

Mark peger på, at adfærdsændringen kan være svær, men ofte også giver effektiviseringer og omkostningsbesparelser, så der er gode grunde til at gøre processerne mere simple og sikre i forhold til persondata-reglerne.  

2. Hvad er udfordringen med emails?

”Emails er rigtigt godt til mange ting, men persondata-reglerne indeholder en ny regel om sletning: når der ikke længere er et formål med data, skal de slettes og lige dér har emails en markant svaghed, fordi det er ustruktureret data. Lad mig give et eksempel: en virksomhed søger en ny medarbejder, de får 30 ansøgninger sendt til f.eks. regnskabschefens email-adresse. Regnskabschefen mailer dem løbende til direktøren og produktionschefen, der begynder at maile frem og tilbage om, hvem de foretrækker og regnskabschefen sættes med på emails som cc. Produktionschefen mailer også hans fem foretrukne ansøgere til hans afsnits-ansvarlige, der svarer tilbage på en mail, som derefter bliver videresendt til direktøren. Lad os for eksemplets skyld antage, at der efterhånden er mindst 15 mails med persondata i ind- og udbakke for hver af personerne, spredt henover et par måneder”.

”Processen slutter selvfølgelig med, at der ansættes en ny medarbejder. Fint nok, men nu er kravet så, at alle persondata for de øvrige 29 ansøgere skal slettes, fordi der ikke længere er et formål med at opbevare dem. Dét giver en stor udfordring, fordi alle der har været med i email-trafikken, selv skal slette disse emails manuelt i både deres ind- og udgående post – og dét kræver både stor disciplin og tiden til at gøre det”, siger Mark.

Hvordan kan det så løses?

”Det afhænger helt af den konkrete situation. Men ét eksempel kunne være, at regnskabschefen pdf’er mail-ansøgningerne til en mappe på et fællesdrev, og mappen er adgangsbegrænset til regnskabschefen, direktøren og produktionschefen. De kan så læse derfra, evt. printe de foretrukne ansøgninger og mødes herom (og naturligvis opbevare print sikkert undervejs i processen). Når ansættelsen er gennemført og afslag er givet til de 29 ansøgere, sletter regnskabschefen alle sine emails til/fra ansøgerne, mappen på fællesdrevet slettes og alle print makuleres. Med lidt omtanke og adfærdsændring behøver virksomheden nu pludselig ikke et langt flow-chart med data-frem-og-tilbage og besværlig sletning, men bare en kort beskrivelse af en simpel proces, der er effektiv og ikke tager lang tid at indføre”, uddyber Mark.

3. Hvornår skal data slettes?

Data skal slettes, når der ikke længere er et reelt formål med at opbevare dem og det gør, at virksomheden skal have indført en politik for sletning.”

”Hvis vi starter med krav og pligter, der kommer fra lovgivning osv., skal de naturligvis overholdes. Det gælder f.eks. at bogføringsmateriale skal gemmes i indeværende år + 5 år, og nogle bogføringsbilag og tilhørende dokumentation indeholder persondata. Det kan være lønbilag, ansættelseskontrakter, fakturaer til privatkunder osv. – og de er omfattet opbevaringskravet for bogføringsmateriale. Så udgangspunktet er, at hvis der findes en lovgivning eller lignende, så skal I selvfølgelig leve op til det”.

”Sletning af andre data må vurderes konkret. Der er kommet lidt vejledning fra Datatilsynet herom og der vil sikkert også efterhånden komme nogle afgørelser, som vi kan bruge. Men tommelfingerreglen er, at I skal afveje hvad der er i personens hhv. virksomhedens interesse og slette, når der ikke længere er et reelt formål. Lad mig illustrere det med ovennævnte eksempel for ansøgninger: som udgangspunkt bør data på alle de ansøgere, der ikke blev ansat, blive slettet med det samme. Men det er så alligevel tilladt at opbevare data i en kortere periode, både af administrative årsager eller fordi personen f.eks. kunne tænkes at udbede sig et mere begrundet afslag, så her taler vi måske 1 - 2 måneder. Der er et reelt formål.”

”Nogle virksomheder har hidtil gemt ansøgninger i lang tid, fordi de tænker: ”det var gode ansøgere, måske der bliver brug for dem senere”, men det er altså ikke tilladt mere, fordi det ikke nødvendigvis er i personens interesse og virksomhedens interesse ikke er konkret, det er ”nice-to-have”. Der skal fremover indhentes samtykke fra personen, hvis en ansøgning gemmes i længere tid: f.eks. op til 6 måneder”, siger Mark.

”Omvendt kunne der opstå en situation, hvor en ansøger – af den ene eller anden grund - reagerer meget negativt på et afslag og måske er kritisk overfor forløbet af ansættelsessamtalen eller lignende. Hvis I mener der er en risiko for, at der her kan komme et retligt efterspil, så er det jo en relevant og rimelig interesse for jer at opbevare data i en lidt længere periode for netop denne ansøger – også selvom personen måske kræver sine data slettet. Der er derfor en vis elastik i reglerne når det gælder konkrete forhold, men som jeg har nævnt mange gange før: omfanget af persondata er ”need-to-have”, ikke ”nice-to-have”, så de konkrete undtagelser for rettidig sletning, må ikke blive til en generel politik”, mener Mark Leerdrup, 

4. Nu er du igennem 3. gode råd

Mark Leerdrup fortæller, at du nu burde være klar på koblingen mellem data og systemsikkerhed, at der kan være behov for at gøre tingene anderledes og at sletning kan være en reel udfordring hvis data ligger ustruktureret.

”Det er naturligvis meget vigtigt at understrege, at mine 5 gode råd ikke er en facitliste for, hvordan du kommer i mål med jeres persondata-projekt. Men du kommer et godt stykke af vejen med god struktur og mit allerbedste råd er fortsat, at du igennem hele forløbet overvejer om din egen indsigt er tilstrækkelig, lytter til din mavefornemmelse og kontakter din Redmark rådgiver, når du kommer i tvivl” afslutter Mark Leerdrup.

Næste gode råd vil handle om koblingen mellem alle de forhold, som vi har været inde på indtil videre i et overblik og hvordan du kan komme videre med arbejdet.  Der er mange andre elementer i persondata-reglerne, men dette er nogle af de spørgsmål, som Mark Leerdrup, Redmarks ekspert i persondata vil give sine bud på i det 4. gode råd, der kommer snart.

Har I brug for personlig rådgivning om persondataforordningen? Redmark er altid klar til at hjælpe jer. På vores hjemmeside www.redmark.dk/Specialistomraader/Persondata kan I læse mere, om den rådgivning vi tilbyder og kontaktpersoner på vores kontorer i Aalborg, Aarhus og København. I er også velkommen til at kontakte Mark Leerdrup direkte på telefon 41 96 58 79 for en uforpligtende snak, om, hvordan Redmark kan hjælpe jer.

Tak for din tilmelding

Du er nu tilmeldt vores nyhedsbrev, og du vil løbende modtage relevante nyheder om regnskab,revision, skat, moms, afgifter og økonomi generelt. Herudover vil du modtage løbende nyheder om Redmark.

Læs mere om Redmark på vores hjemmeside, og husk på, at du altid er velkommen til at kontakte os.

icon-close