Det er snart halvandet år siden, at Databeskyttelsesforordningen – GDPR – var på de flestes læber, og op til den 25. maj 2018, blev der arbejdet hårdt på at kunne leve op til de nye retningslinjer. Både i advokatvirksomheder og mange andre virksomheder i Danmark. Men hvordan er det gået? Advokaten ser på de udfordringer GDPR har givet, og de myter, der kan opstå både i advokatvirksomheder og virksomheder generelt.
Tekst: Peter Djurup
Afliv myterne
De nye databeskyttelsesregler kræver løbende mange ressourcer i advokatvirksomheder. Samtidig kan risikoen for at overtræde reglerne føre til usikkerhed og overimplementering. Men valg af systemer og simple retningslinjer kan give medarbejderne en lettere hverdag, mener advokat.
Ulrik Grønborg er advokat og partner i Advokaterne Sankt Knuds Torv i Aarhus. Samtidig er han virksomhedens databeskyttelsesansvarlige, og har derfor stået for planlægningen og implementeringen af uddannelse og systemer i forbindelse med forordningens ikrafttræden den 25. maj 2018.
Her knap halvandet år efter reflekterer Ulrik Grønborg over, hvordan forordningen har haft indflydelse på arbejdet i advokatvirksomheden.
- De skærpede databeskyttelsesregler gør, at vi tænker rigtig meget over, hvordan vi håndterer data, og hvordan vi kommunikerer med klienterne. Reglerne er stadig nye for os, og derfor kan de godt skabe lidt usikkerhed – men ofte uden grund. Vi har oplevet medarbejdere, der kan blive usikre på nogle forhold ved GDPR, blandt andet fordi de hører rygter om, hvad bekendte i andre brancher gør. Derfor kan der meget nemt opstå myter om, hvad man må og ikke må, men det gælder om at få aflivet myterne, siger Ulrik Grønborg.
Usikkerhed og overimplementering
Ulrik Grønborg advarer mod, at myter kan føre til overimplementering, der kan gøre arbejdsgangene tungere end nødvendigt for medarbejdere og klienter.
- Vores største udfordring i forhold til håndtering af databeskyttelsesreglerne er misforståelser om, hvad der er almindelige personoplysninger, og hvad der er følsomme personoplysninger, ligesom der florerer myter om enorme bødestraffe for ethvert mindre fejlskøn, man måtte lave i sin håndtering af data. Nogle tror desværre, at reglerne stiller større krav, end de reelt gør – og det kan føre til, at man af forsigtighedshensyn gør tiltag, der ikke er nødvendige, men gør sagsbehandlingen mere tidskrævende, siger Ulrik Grønborg.
Et eksempel på, hvor advokatfirmaet har ændret arbejdsgange som følge af GDPR, er e-mails.
- Hvis vi tager et område som kryptering af e-mails, har vi og vores it-folk brugt en del energi på at finde en løsning, der sikrede, at reglerne blev overholdt, uden at vores klienter eller medarbejdere skulle opleve store ændringer i deres daglige kommunikation, siger Ulrik Grønborg.
- Vi har valgt at indstille vores mailserver til såkaldt ”Forced TLS”. Grundlæggende betyder det, at andre ikke kan læse med under forsendelsen. Den store fordel ved TLS er, at kontorets medarbejdere ikke skal gøre noget ekstra, når de sender e-mails fra Outlook. Alt, der forlader kontoret, er krypteret, mens mailen sendes fra a til b, men er tilgængelig for modtageren uden brug af Nem-id eller password. Det er smidigt både for medarbejderne og for vores klienter, siger Ulrik Grønborg.
Grundigt forarbejde
Hos Advokaterne Sankt Knuds Torv har man arbejdet målrettet med at gøre systemer og medarbejdere klar til at håndtere databeskyttelsesreglerne.
- Jeg har ikke gjort op, hvor mange timer vi har brugt på GDPR. Men vi har brugt mange ressourcer på at gøre os klar til GDPR, sende medarbejdere på kurser, lave fortegnelser over behandlingsaktiviteter og skrive interne retningslinjer i forhold til, hvordan vi skal forholde os, siger Ulrik Grønborg.
- Jeg synes selv, at vi nu har vænnet os til reglerne, men det forhindrer ikke, at der også fremover kan opstå myter om håndtering af persondata. Generelt er mit råd, at man altid skal gå til den GDPR-ansvarlige i virksomheden, hvis der er den mindste tvivl om, hvordan en sag skal håndteres. Så kan usikkerheden og myterne for det meste hurtigt blive ryddet af vejen, siger Ulrik Grønborg.
Ulrik Grønborg
Advokat hos Advokaterne Sankt Knuds Torv i Aarhus
Mere om kryptering af e-mails
Et af de emner, der optager mange advokatkontorer i forhold til GDPR er kryptering af e-mails. Nogle er i tvivl om, hvilken krypteringsform man skal vælge i forhold til en mails indhold.
Ved indgangen til 2019 skærpede Datatilsynet kravene til kryptering af e-mails i den private sektor. De skærpede krav betyder, at en e-mail, der indeholder følsomme eller fortrolige personoplysninger, skal krypteres.
Der er to muligheder for kryptering: kryptering af transportlaget, hvor indhold i en mail er krypteret, når den sendes og end-to-end kryptering, hvor indhold i en mail krypteres hos afsender og kræver password eller Nem-id hos modtageren for at åbne til indholdet.
I Advokaten nr. 10 fra december 2018 kan du læse mere om kryptering af e-mails og se anbefalinger i forhold til, hvilken krypteringsform man skal benytte alt efter indholdet i en mail.
De fleste vil gerne have orden i penalhuset
Databeskyttelsesforordningen – eller GDPR – var på alles læber op til 25. maj 2018, hvor forordningen blev effektueret. Der blev knoklet i virksomhederne for at blive klar til datoen, som alle lærte at kende. Men hvordan går det så nu snart halvandet år efter? Det har advokat Claus Guldager et bud på.
Claus Guldager er partner i Andersen Partners Advokatfirma, han har specialiseret sig i persondataret og har rådgivet en lang række virksomheder om GDPR. Han har gennem perioden dannet sig et overblik over status for GDPR i de danske virksomheder.
- Min iagttagelse er, at der er stor forskel på, hvordan GDPR er blevet implementeret i danske virksomheder. Generelt er det min opfattelse, at de fleste gerne vil have ”orden i penalhuset” – også når det gælder håndtering af persondata. Men der er fortsat virksomheder, som ikke er i mål, siger Claus Guldager.
Kræver interne ressourcer
Det kræver mange ressourcer i virksomhederne at blive klar til GDPR. Ikke mindst har det været nødvendigt at sætte interne ressourcer af til arbejdet.
- Det er meget fornuftigt at købe eksterne rådgivere til at hjælpe sig, men virksomheden skal selv arbejde med processen. Der findes næppe en standard, der passer alle, men der findes mange brugbare løsninger, der understøtter den enkelte virksomheds arbejde med at implementere reglerne. Det er som udgangspunkt virksomheden selv, der er bedst til at kortlægge, risikovurdere og tilpasse processer, og det er klart, at god rådgivning og velegnede skabeloner kan gøre en kæmpe forskel i den forbindelse. Men hvis virksomheden ikke sætter interne ressourcer af til at tage imod rådgivningen og til at arbejde med den konkrete implementering, er det oftest spild af ressourcer at bruge eksterne rådgivere, siger Claus Guldager.
Afliv myterne med viden
Som med alle andre regler og retningslinjer har GDPR krævet meget forberedelse og tid til at sætte sig ind i, hvad der skal til for at overholde reglerne. Claus Guldager oplever, at der er mange myter om GDPR i virksomhederne, og for det meste skyldes myterne, at man ikke er sikker på reglerne. Den usikkerhed kan føre til tiltag og procedurer, der er forkerte eller utilstrækkelige, eller at reglerne bliver overimplementeret.
- Der er ikke tvivl om, at der visse steder er gjort mangt og meget, der ikke kræves. Complianceforløb er også mange steder angrebet uhensigtsmæssigt – måske endda forkert – og det har selvsagt været ressourcekrævende og frustrerende. Et eksempel på forkert implementering er samtykke. Mange tror, at der undtagelsesfrit skal et samtykke til, før personoplysninger må behandles. Det er en myte. Der er flere behandlingsgrundlag, og det gælder om at finde det rette, siger Claus Guldager.
Men det er ikke uden grund, at man kan blive i tvivl.
- I Sydeuropa er der et eksempel på, at en virksomhed har fået en bøde for at anvende samtykke som behandlingsgrundlag i en situation, hvor der var et andet behandlingsgrundlag. Om det vil ske i Danmark, må tiden vise, men der skal ikke indhentes samtykke, hvis der er et andet behandlingsgrundlag, siger Claus Guldager og opfordrer til, at man søger råd, hvis man er i tvivl om datahåndteringen.
- Den bedste måde at undgå myterne på er at medvirke til at aflive dem. Det gør man ved at sikre sig tilstrækkelig viden. Læs for eksempel Datatilsynets vejledninger og søg eventuelt råd hos en interesseorganisation eller eksterne rådgivere. Hvis der stadig er tvivl, kan man kontakte Datatilsynet for råd, anbefaler Claus Guldager, der tilføjer, at han har oplevet virksomheder, der har haft stor glæde af at stramme op på processer og rutiner i virksomheden. Der er også gevinster at hente ved at arbejde med implementering af databeskyttelsesreglerne, siger han.
Tager samme medicin
På advokatkontorerne i Danmark har man den fordel, når det gælder GDPR, at man altid har været vant til at håndtere fortrolige oplysninger, og derfor er korrekt databehandling ikke et nyt fænomen for de fleste advokater. Men alligevel har GDPR krævet en del arbejde for advokatkontorerne. Der har eksisteret regler om behandling af personoplysninger længe før GDPR, men forordningen stiller nye krav – også til advokatvirksomheder.
Når det gælder Andersen Partners Advokatfirma, hvor Claus Guldager er partner, har der været arbejdet koncentreret på at skabe overblik over, hvordan man behandler personoplysninger internt, og hvordan infrastrukturen på kontoret hænger sammen. Kontoret har også formuleret en række interne retningslinjer for blandt andet håndtering af e-mails. Her er det besluttet, at alle sagsrelaterede mails sendes direkte fra sagssystemet fremfor mailsystemet. I sagssystemet er parter og klienter oprettet og derved sikres bedst muligt mod menneskelige fejl.
- Vi har skemalagt infrastrukturen og belyst, hvor der er risici, og har i hele processen involveret vores medarbejdere, hvilket har været vigtigt for resultatet. Når medarbejderne føler ejerskab over processerne, er det lettere at implementere og håndtere i hverdagen. Man kan sige, at vi har taget den samme medicin, som vi udskriver til vores klienter, siger Claus Guldager.
Claus Guldager
Advokat, Andersen Partners Advokatfirma, med ekspertise inden for persondataret. Tidligere næstformand i Advokatrådet.
GDPR på forskellige niveauer
Claus Guldager opdeler virksomhederne i fire kategorier, når det gælder implementeringen af GDPR. Han forklarer de fire kategorier her:
1. Virksomheder, der ikke eller næsten ikke har arbejdet for at blive klar til GDPR. De har evt. brugt en privatlivspolitik fra et andet sted og lagt den på deres hjemmeside.
2. Virksomheder, der har læst Datatilsynets hjemmeside, set på hvad andre har gjort, og så har de været på kursus i den lokale erhvervsforening. De har måske også underskrevet en databehandleraftale og købt en lås til døren.
3. Virksomheder, der ønsker at overholde reglerne og er kommet i mål – eller næsten i mål. De er vant til at håndtere regelsæt for at kunne drive virksomhed. Det er for eksempel finansvirksomheder. De har sat betydelige interne ressourcer af, og en del af dem har desuden brugt eksterne rådgivere.
4. Virksomheder, der har brugt mange penge på at komme i mål uden at komme det. De har købt sig til rådgivning, men de har typisk ikke afsat ressourcer nok internt til at implementere.