Den 23. april landede der hos personalet på RUC en mail med et seks siders langt påbud om at fjerne alle personfølsomme oplysninger fra emails, der er over 30 dage gamle. En opgave, der skal løses, inden de nye persondataregler træder i kraft per 25. maj. Men RUC’s nye regler for at slette gamle emails er i praksis umulige at følge for de ansatte. Det betyder, at personalet enten beholder al persondata og bryder reglerne , eller sletter det hele og mister oplysninger, der reelt burde gemmes.
Skostørrelse og hårfarve = Ctrl+alt+delete
Når de nye regler træder i kraft, er det ikke længere tilladt at gemme oplysninger, der kan knyttes til en bestemt person, i mere end 30 dage. Det gælder alt, der kan identificere en person – fra navn og adresse til skostørrelse og hårfarve. Af emailen fremgår det, at RUC har besluttet, at den enkelte medarbejder er bedst i stand til selv at vurdere hvilke emails, der skal slettes og hvilke, der af forskellige årsager skal, kan og må gemmes. I en vedhæftet vejledning kan de ansatte orientere sig nærmere om, hvad der falder ind under de nye regler og hvad der er undtaget.
Men det er helt urealistisk at antage, at en medarbejder kan nå at gennemgå alle sine mails på så kort tid, lyder kritikken fra en række ansatte. VIP-tillidsrepræsentanterne har som reaktion, i en samlet mail til institutlederne, udtrykt bekymring for udmeldingen om oprydning af emails. De peger i mailen blandt andet på, at det tidsmæssigt er en så uoverkommelig opgave at skulle gennemgå og vurdere et så stort materiale, at der kan være tvivl om de ansattes retssikkerhed, og tillidsrepræsentanterne udtrykker samtidig frygt for, at der vil ske et videns-tab.
»Det, jeg synes er problematisk, er, at vi bliver bragt i en situation, hvor vi vil blive stillet en reelt umulig opgave. For der er jo en række oplysninger, vi skal gemme. Fordi vi kan jo kan blive udsat for at skulle give aktindsigt, vi kan blive genstand for uredelighedsundersøgelser, vi kan blive udsat for studenterklager. Så der er en mængde oplysninger, vi vil skulle gemme. Samtidig er der en hel del data, vi skal slette. Og da det er indviklet juridisk stof, er det vanskeligt at finde ud af, hvad der er hvad. Det vil sige, at man nu giver os en opgave, hvor vi kun kan gøre det forkert,« siger Kristine Niss, professor (MSO) ved Institut for Naturvidenskab og Miljø samt tillidsrepræsentant for det videnskabelige personale på samme institut.
General Data Protection Regulation – er en bindende lovgivning fra den Europæiske Kommission. Lovgivningen erstatter nuværende EU databeskyttelsesdirektiver og forskellige nationale regler.
Inden den 25. maj 2018 skal alle virksomheder, organisationer og institutioner leve op til en lang række nye krav til, hvordan de indsamler og bruger personlig data om EU-borgere
GDPR introduceres for at styrke EU-borgeres datarettigheder og beskyttelse
Dårlig kommunikation mudrer budskabet
De ansatte på RUC har fået tilsendt to vejledninger i, hvordan deres mailboks rent juridisk skal bringes i orden. Ifølge vejledningen er der tre typer materiale i mailboksen: Oplysninger, der bør gemmes; oplysninger, der bør slettes og oplysninger, hvor der i særlige tilfælde kan opstå tvivl. Og netop på grund af de forskellige kategorier kan det for personalet være besværligt at skulle gennemgå mails på forsvarlig vis. Tekniske og juridiske vejledninger er ikke tilstrækkeligt, hvis de ansatte skal kunne forstå budskabet og tage opgaven alvorligt.
Påbuddet stammer fra RUCs tolkning af den nye persondatalovgivning, som træder i kraft per 25. maj. Reglerne har principielt været gældende siden 2000, men vil nu blive tolket og håndhævet langt mere restriktivt. I yderste instans kan en overtrædelse af reglerne betyde kæmpe bøder fra EU. For en institution på RUCs størrelse kan beløbet komme til at ligge på omkring 16 millioner kroner.
»Der er sket en kommunikationsbrist i den måde, det er blevet meldt ud på, fordi der mangler anerkendelse af, hvor stor og svær en opgave det er at skulle gennemgå og slette måske 40.000 emails. Så går man enten i panik og sletter det hele, eller man kan slet ikke overskue det og derfor helt underlader at slette,« siger Hanne Jørndrup, lektor på Journalistik og tillidsrepræsentant.
Jeppe Dyre, dr. scient. på Institut for Naturvidenskab og Miljø, mener, at opgaven reelt er uløselig, da mange ansatte modtager omkring 100 mails om dagen.
»Det er jo helt uoverkommeligt at skulle slette så mange oplysninger. Jeg synes, at RUC burde afvente og finde ud af, hvad man gør på andre danske og udenlandske universiteter. De personer, jeg har talt med fra andre universiteter, var helt uforstående over for, at man skulle slette sine gamle mails; de sagde, det måtte være en fejl.«
Frygt for konsekvenser
Universitetsdirektør Peter Lauritzen, der i disse dage opholder sig i Singapore, skriver i en email, at han godt er klar over, at opgaven både er tidkrævende, og at det er en bureaukratisk opgave at skulle gennemgå alle sine mails.
»Vi ved godt, at det kan være en stor opgave for nogle. Der er jo heldigvis forskel på, hvor meget man har liggende og hvilken karakter, det har. Men det vigtigste er at komme i gang med arbejdet. Vi er klar over, at det formentlig ikke er alle, som er færdige med opgaven allerede den 25. maj,« skriver han og tilføjer:
»Roskilde Universitet gør sit bedste for at leve op til alle facetter af de nye regler, og vi forsøger at sikre denne overholdelse ved at stille vejledninger og rådgivning til rådighed for de ansatte, der måtte have særlige vanskeligheder i forbindelse med indholdet i deres email. Vi skal huske, at det bagvedliggende hensyn til, at den enkeltes data skal være beskyttet, er et vigtigt hensyn for en forskningsinstitution.«
Forståelse for reglerne
Og at man gerne vil imødekomme og overholde de nye regler, er der som sådan forståelse for blandt de ansatte.
»Det er rimeligt nok, at man gerne vil overholde reglerne. Men det er jo helt vildt omfattende. Det er ikke noget, man bare lige kan klare på 30 dage. En så stor opgave skal ikke komme dumpende uden varsel,« siger Hanne Jørndrup.
Mere bekymrende er det, hvad konsekvenserne så er, hvis man ikke overholder påbuddet.
»Enkelte ansatte er også bekymrede for det personlige ansvar og for om det – i yderste instans – kan blive brugt imod en ansat, for eksempel i en fyringsrunde. Det kan meget vel være en fuldstændig ubegrundet frygt, men bekymringen er der hos flere ansatte. Man har simpelthen glemt at tænke på, hvordan det vil blive modtaget«.
Universitetsdirektør Peter Lauritzen oplyser, at grænsen på 30 dage er fastsat ud fra Datatilsynets vejledning (Nr. 37 af 2. april, 2001) til § 19, stk. 2 i ‘Sikkerhedsbekendtgørelsen’.
https://www.retsinformation.dk/Forms/R0710.aspx?id=1002