‘I kølvandet på persondatalovgivningen’

Artikel l 16.05.2019

I kølvandet på persondatalovgivningen

Aktuelt

Artikel l 16.05.2019

6 min

Tegning: Niels Christensen

RUC-ansatte fik i foråret 2018 en mail om at fjerne alle potentielt personfølsomme oplysninger fra deres RUC-mail. Men det var en uoverkommelig opgave at gennemgå så stort et materiale, lød kritikken. Et år efter at den nye persondata-lov trådte i kræft, har kun få af de medarbejdere, som RUC Paper har talt med, nået at tømme deres indbakke efter reglerne.

Skrevet af

Line Høvik Søby

Skribent

Mange RUC-ansatte havde allerede hørt om den nye persondatalov, GDPR, (General Data Protection Regulation), da der tikkede en mail ind fra ledelsen den 23. april 2018.

I mailen stod, at alle ansatte skulle »foretage en større oprydning af deres mails«, inden loven trådte i kraft 30 dage efter.

Det fik VIP-tillidsrepræsentanterne til at skrive en samlet mail til institutlederne, hvori de udtrykte bekymring for udmeldingen om oprydning af e-mails og for deres ansattes retssikkerhed. Men loven skulle overholdes og mailboksen hovedrengøres, lød tilbagemeldingen. Ellers risikerede RUC massive bøder for at bryde persondataloven.

»RUC havde valgt en ret restriktiv politik i modsætning til de andre universiteter, og samtidig var vi bekymrede for den meget korte frist, som vi fik. Folk havde op indtil da også brugt deres mail som et arkiv, og der havde ikke været nogen forordning imod det. Vi følte os ladt lidt alene med et stort problem, som vi selv skulle fikse,« fortæller VIP-tillidsrepræsentant på Institut for Mennesker og Teknologi, Janne Gleerup.

Hun bruger i dag mange timer for at nå at følge med i oprydningen af sin indboks.

»Jeg synes stadig, at det er en træls ekstraopgave, og jeg får som tillidsrepræsentant rigtig mange mails med mange vigtige informationer. Vi bruger i dag mails som et centralt arbejdsredskab, og jeg kan være bange for, at jeg i skyndingen kommer til at slette noget vigtigt. I den hektiske hverdags mailstrøm skal der ikke meget til, før man kommer bagud i den løbende oprydning,« siger Janne Gleerup.

Et år senere har RUC Paper undersøgt, om GDPR lovgivningen overholdes, og hvordan de ansatte forholder sig til denne. Vi har talt med flere kilder på RUC og også udsendt et anonymt spørgeskema til samtlige 1737 ansatte på RUC. Det skete den 26. marts 2019.

255 ansatte har responderet på dele af eller hele undersøgelsen, der således ikke er repræsentativ eller kan anvendes statistisk. Resultatet af undersøgelsen står dog som et billede på, hvordan en mindre del af de ansatte på RUC har oplevet GDPR.

Intentionen er god

Flere af de kilder, som RUC Paper har talt med, ønsker at være anonyme, da de ikke har gået deres emails igennem og derved bryder RUC’s reglement. En af dem siger:

Mail sendt fra informationssikkerhedskonsulent Mads Tolderlund til ansatte på RUC d. 23. april 2018:

“Kære kollegaer på Roskilde Universitet

Fra d. 25. maj bliver de nye persondataretlige regler håndhævet. Det betyder at der er et forøget fokus på, hvordan offentlige myndigheder håndterer personoplysninger, dvs. enhver type af oplysninger, som kan knyttes til en bestemt person. Idet vi på RUC, som mange andre steder, har meget store datamængder liggende i e-mail-historik, skal du i den anledning foretage en større oprydning af dine mails.

Det er på RUC besluttet at medarbejderne bedst selv rydder op i deres egen mail-ind- og udbakke, idet nogle e-mails kan og bør beholdes, uanset at de er af ældre dato.

Til hjælp med at foretage denne sortering er vedhæftet en vejledning. Ved spørgsmål kan man henvende sig til Mads Tolderlund på tolderlund@ruc.dk

Der er tale om en større opgave, som man ligeledes er i gang med i flere offentlige myndigheder såvel som private virksomheder. Det er vigtigt at understrege, at de nye regler vedrører den omstændighed at man gemmer data om personer– og ikke kun hvor man gemmer dem henne. Det er ikke tilladt blot at slette fra email-klienten, men bevare en kopi udenfor denne, fx i anden mail. Oprydning og sletningen er et krav, som gælder alle stillingsniveauer. Det er vigtigt at du tager dig tid til opgaven med oprydningen af dine mail inden 25. maj.

Det handler kort sagt om at vi beskytter de oplysninger, som vi er blevet betroet af vores kollegaer, studerende og samarbejdspartnere.”

»Oven i alle de andre opgaver, og med de nedskæringer i normer med videre, der har været, er der bare ikke tid til at gå de 20.000 – 40.000 – 50.000+ mails igennem, som mange har. Selv hvis man kun sætter tre sekunder af til hver mail, så kommer det let til at svare til over en uges fuldtidsarbejde. Det er der mange, som ikke kan og ikke vil. Derfor er der formentlig rigtig mange, som ikke gjort det. Desuden er der en udpræget oplevelse af, at RUC overimplementerer reglerne samtidig med, at hele ansvaret bliver tørret af på den enkelte medarbejder, for at RUC som institution kan gå ud og sige, at de overholder reglerne. Det er ganske frustrerende. Der er ikke sat ressourcer af, der er ingen opbakning oppefra; kun påbud om, at rette ind.«

Den 26. marts udsendte RUC Paper en mail med et anonymt spørgeskema til samtlige 1737 ansatte på RUC. Mange af respondenterne tog imod muligheden for at tilføje en ekstra kommentar til GDPR. Her er et udvalg:

»Direktivet kan ikke overholdes uden at svække vores produktivitet som forskere ganske stærkt. I praksis bliver vi alle lovovertrædere, hvis vi vil passe vores arbejde. Vi vil derfor kunne afskediges med henvisning til, at vi overtræder loven.«

»Det virker som om, RUC har taget opgaven meget alvorligt. Det er jeg glad for. Lovgivningen er meget vigtigere, end mange tror«.

»GDPR synes at være overimplementeret på RUC. Hvis vejledningen blev fulgt, ville det være en betydelig hindring for udførelsen af vores arbejde; det har ikke været hensigten med GDPR.«

»Jeg har ikke ændret særligt meget, da jeg altid har slettet mails, som kunne indeholde sensitive data (oversat fra engelsk).«

»Det er stadig meget uklart, hvordan vi skal forholde os til e-mails. Der har været meldt flere ting ud, og det lader til at holdningen til dette har ændret sig i løbet af året. Hvis det ikke er tilfældet, så skal det pointeres og gerne flere gange igen.«

»Jeg oplever stadig forvirring selv og blandt kolleger om GDPR.«

»Fuld implementering af GDRP vil tage ENORM meget tid fra undervisning og øvrigt arbejde.«

»Jeg ved at jeg kommer til at rydde op fremadrettet.«

»Jeg er ansat efter implementeringen, og det betyder faktisk, at jeg ingen information eller vejledning har fået ift. GDPR.«

Noget, som har gjort det sværere at leve op til de nye regler, er, når VIP’erne på RUC samtidig får overdraget flere administrative opgaver, lyder det fra Annika Agger, lektor ved Institut for Samfundsvidenskab og Erhverv.

»Jeg tror, at grunden til, at mange ikke har nået det, er fordi, der bliver skudt flere og flere opgaver hen på vores bord,« siger Annika Agger og opfordrer til, at man husker på, at reglerne er indført for at beskytte folks personfølsomme data:

»Jeg kan sagtens forstå, at nogle ikke har nået det, men intentionen er jo god. Vi må vænne os til de her nye arbejdsrytmer. Så bliver det rutine som så meget andet. Jeg synes, det er vigtigt at beskytte folks data, og at der strammes op, så på den måde er jeg ikke overkritisk over for GDPR,« siger Annika Agger.

VIP-tillidsrepræsentant Janne Gleerup understreger også, at GDPR er indført med god grund:

»RUC har ikke noget valg – vi skal følge forordningen, og grundtanken bag GDPR er jo fornuftig. Jeg håber dog på, at der i fremtiden kommer tilpasninger, som tager hensyn til de forskelle, som kendetegner forskellige dele af arbejdsmarkedet,« siger hun.

»Jeg kan sagtens forstå, at nogle ikke har nået det, men intentionen er jo god. Vi må vænne os til de her nye arbejdsrytmer.«

Annika Agger, lektor ved Institut for Samfundsvidenskab og Erhverv.

Universitetsdirektør Peter Lauritzen er overbevist om, at de ansatte gerne vil leve op til datalovgivningen:

»Jeg håber, at alle ansatte – også eksterne lektorer – lever op til de regler, vi allerede havde i forvejen. Hvis man gjorde det, så er det lige pludseligt ikke så stort et arbejde,« fortæller Peter Lauritzen og understreger, at de ansatte godt kan rydde op efter bedste evne over tid:

»Jeg har stor respekt for, at det kan være svært og føles som en uoverskuelig opgave, men så må man sørge for, at man gør det lidt hist og pist og får ryddet op undervejs.«

Oprydning kan tage fokus væk fra forskning

Nogle af respondenterne i RUCs anonyme undersøgelse udtrykker også bekymring for, at RUC har overimplementeret i indførelsen af den nye datalovgivning. Og derved risikerer man, at vigtige data går tabt i oprydningen.

Universitetsdirektør Peter Lauritzen understreger dog, at man gerne må gemme informationer med et anerkendelsesværdigt formål – såsom informationer som begrundelse for forskning:

»På RUC har vi valgt forsigtighedsprincippet. Jeg tror, at de fleste virksomheder og offentlige institutioner vil følge retsudviklingen nøje på dette område og se, om der er behov for at lempe eller skærpe retningslinjerne,« skriver Peter Lauritzen i en mail til RUC Paper.

»Jeg slettede rigtigt mange mails, og jeg havde ikke tid til at nærlæse dem alle sammen. Konsekvensen har så været, at jeg også har mistet informationer, som jeg behøvede.«

Ansat på RUC om implementeringen af GDPR.

En anden ansat, som RUC Paper har talt med, føler sig imidlertid magtesløs over for kravene. For at nå igennem blot en brøkdel af e-mails må kvaliteten vige for kvantiteten. Informationer, som kan være essentielle for forskningen eller vejledningen af de studerende, tager skade af datalovgivningen og de knappe ressourcer i udførelsen af denne, lyder det:

»Jeg slettede rigtigt mange mails, og jeg havde ikke tid til at nærlæse dem alle sammen. Konsekvensen har så været, at jeg også har mistet informationer, som jeg behøvede – også selvom jeg godt kunne have beholdt dem. Jeg slettede så mange mails, som jeg kunne,« siger den anden anonyme kilde.

Svar på spørgsmål 3 i RUC Papers spørgeskemaundersøgelse om GDPR. Et flertal af respondenterne mener ikke, at de ved nok om GDPR-lovgivningen.

Annika Agger har også oplevet, at indførelsen af de nye regler har taget fokus væk fra hendes forskning, men mener også, at vigtigheden af GDPR overskygger irritationen ved indførelsen af den.

»Der er altid noget, som går ud over ens forskning. Men det er bare endnu en af mange bolde, som kommer ind fra siden. Der er en masse ydre opgaver, som vi synes egentligt ligger uden for vores kerneopgaver. Jeg er ikke over-kritisk, for jeg synes, at det er vigtigt at beskytte folks data, og at der strammes op,« fortæller Annika Agger.

Svar på spørgsmål 5 i RUC Papers spørgeskemaundersøgelse om GDPR. Der er et mindretal af respondenter, som føler, at den nye persondatalovgivning i højere grad har taget fokus fra deres andre arbejdsopgaver.

Beskyttelse af data er ikke noget nyt

Det har altid været en del af RUC’s politik, at alle ansatte skal følge et sæt retningslinjer for håndteringen af personfølsomme data, som skal sikre de studerendes sikkerhed, lyder det fra Morten Eeg Ejrnæs Nielsen, ekstern databeskyttelsesrådgiver på RUC.

»RUC har været blandt de bedre til at implementere GDPR i forhold til de andre universiteter, for vi har arbejdet med det i lang tid,« siger han.

Selvom persondatalovgivningen blev strammet med den nye persondataforordning, så har det altid været dansk lovgivning, at offentlige institutioner og organisationer skal beskytte deres personfølsomme data. Morten Eeg Ejrnæs Nielsen påpeger, at ledelsen ikke kan gøre for, at der indføres ny lovgivning:

»Personligt er jeg lidt overrasket over den reaktion, vi oplevede i forbindelse med den nye lovgivning. Vi kan ikke gøre noget ved, at der kommer ny EU-lovgivning, som vi skal efterleve,« siger Morten Eeg Ejrnæs Nielsen og fortsætter:

»Det er ikke sikkert, at det havde gjort nogen forskel, hvis de ansatte havde fået noget at vide tre måneder før. Det har hele tiden stået i RUC’s informationssikkerhedspolitik, så det er ikke nyt, at man skal beskytte personoplysninger,« udtaler Morten Eeg Ejrnæs Nielsen.

Svar på spørgsmål 4 i RUC Papers spørgeskema om GDPR. Til trods for en følelse af manglende information, deltog et flertal af respondenterne ikke i de planlagte informationsmøder.

Universitetsdirektør Peter Lauritzen lægger også vægt på, at det altid har været RUCs politik at personfølsomme data skal beskyttes. Ifølge ham har RUC’s ledelse gjort, hvad de kunne, for at de ansatte skulle få en så smertefri overgang som muligt:

»Det har i lang tid stået i RUC’s datasikkerhedspolitik, at vi skal beskytte de studerendes informationer, og vi udsendte to vejledninger i forbindelse med overgangen. Derudover har vi også haft en informationssikkerhedskonsulent ude på alle institutter mindst én gang, men jeg ved selvfølgeligt ikke, om folk dukkede op. Jeg føler, at vi har gjort, hvad vi kunne, for at forberede de ansatte på den nye datalovgivning.«

Der er for nogle måneder siden udsendt en fysisk flyer til alle ansatte, der viser en guide til korrekt opbevaring og sortering af data.

Flyer udsendt til ansatte på RUC.

Ingen domme over universiteterne – endnu

I Danmark ligger bødeniveaet for brud på datalovgivningen på op til 4 pct. af organisationens omsætning – dog maksimalt 16 millioner kr. jf. Persondataforordningens artikel 83. Disse tal og sanktioner er dog stadigvæk teoretiske, da der endnu ikke er fældet dom for brud på datalovgivningen for nogen offentlig institution – herunder universiteter – i Danmark. Dette gør hele diskussionen om, hvordan RUC skal håndtere potentielle bøder meget teoretisk, mener Peter Lauritzen:

»Vi ved ikke endnu, hvordan vi skulle håndtere en eventuel bøde, og hvor pengene skulle spares. Det er umuligt at svare på endnu, for det afhænger af bødens størrelse. Derfor vil ledelsen først tage stilling til dette, hvis den dag kommer. Men vi håber selvfølgelig, at vi ikke får en bøde,« siger Peter Lauritzen.

Selvom Peter Lauritzen er overbevist om, at langt de fleste ansatte gør deres bedste for at overholde loven, så finder han det bekymrende, at nogle ansatte bevidst ikke gør dette.

»Vi gør meget for at overholde GDPR-reglerne af hensyn til alle dem der giver os deres data. Ansatte, studerende og borgere der indgår i forskningsprojekter. De skal have tillid til at RUC behandler deres data ordentligt. Derfor er det også bekymrende hvis nogen bevidst overtræder reglerne ved at lægge personfølsomme oplysninger over på private computere. De snyder ikke ledelsen ved dette, men dem der har givet dem deres data,« skriver Peter Lauritzen i en mail til RUC Paper.

FAKTA OM GDPR

General Data Protection Regulation er en bindende lovgivning fra den Europæiske Kommission.

Skal beskytte personfølsomme oplysninger på nettet.

Skal sikre, at persondata kun bliver indsamlet, behandlet og lagret under strenge betingelser og med lovlige formål.

Organisationer som indsamler og behandler dine personlige informationer skal beskytte dem mod misbrug samt respektere særlige betingelser.

GDPR’s formål er at styrke EU-borgeres datarettigheder og beskyttelse den 25. maj 2018.

Er du i tvivl om, hvordan du skal håndtere sorteringen af dine data, så kontakt IT-konsulent Mads Tolderlund på tolderlund@ruc.dk.

Da informationssikkerhedskonsulent Mads Tolderlund sendte mail om oprydning af emails ud til de ansatte på RUC, blev følgende vejledning vedhæftet:

ROSKILDE UNIVERSITET Vejledning

23-04-2018

Vejledning i oprydning af e-mails (ind- og udbakke)

Denne vejledning er tiltænkt at bistå med, at forklare hvilke e-mails man må gemme, og hvilke e-mails man skal slette. Baggrunden for denne vejledning er, at der d. 25. maj, 2018 træder nye regler i kraft vedr. Persondata, og der er derfor nu fornyet fokus på myndigheders håndtering af personoplysninger. Herudover straffes offentlige myndigheders brud på de persondataretlige regler fremover langt hårdere end med de hidtidige regler.

Nedenstående skal ikke blot gøres til den 25. maj, men skal gerne overholdes løbende. Det bliver undersøgt, hvad der kan gøres for, at foretage systemisk understøttelse heraf.

Overvejelser ift. hvordan man forholder sig til den opgave det er at rydde op i sine mailarkiver er ligeledes undervejs i såvel europæiske som danske myndigheder og virksomheder – herunder på universiteterne.

På Roskilde Universitet er det blevet besluttet, at medarbejderne bedst rydder op i egen ind- og udbakke, fremfor at foretage en systemisk sletning.

Det er vigtigt at understrege, at denne beslutning vedrører mails, som indeholder personoplysninger. Personoplysninger skal her forstås som alle typer af oplysninger der vedrører personer, som man kan identificere. Dermed vil langt de fleste e-mails være omfattet. Bemærk at e-mails der indeholder forskningsdata behandles særskilt.

Som hovedregel skal man slette alle e-mails der er ældre end 30 dage, medmindre:

a) Man har et konkret og sagligt behov for at gemme den pågældende e-mail.
b) E-mailen tjener som dokumentation for en sag. I dette tilfælde skal den lægges i F2 på denrelevante sag, eller eventuelt lægges ind i et fagsystem.
c) E-mailen ikke indeholder personoplysninger.
d) E-mailen er rent privat.

page1image30477312 page1image30483072 page1image30483648 page1image30481920

Angående punkt a)

1) Man kan beholde en e-mail mens man arbejder med indholdet i den, eller den sag, som den er tilknyttet.Eksempelvis hvis man har en e-mail liggende som vedrører en sag eller et projekt, som man er en del af. Det kan fx være at man har kommunikeret med en studerende om dennes uddannelse, uden at dette er sags-dannende. Så længe der er en dialog med den studerende har man således et sagligt behov.
2) Hvis indholdet i e-mailen omhandler aftaler, hvor man kan få behov for at dokumentere indholdet, men hvor det ikke kan lade sig gøre/er uhensigtsmæssigt at indlægge i F2 (for eksempel hvis forhandlingerne indeholder forretningshemmeligheder). I dette fald må man gemme e-mailen.Eksempelvis hvis man kommunikerer med en ekstern part som led i forhandlinger, hvor man har behov for at kunne dokumentere oplysninger, som de tidligere har afgivet, med henblik på at kunne fastslå den endelige aftales indhold.
3) Man har en berettiget forventning om at få behov for den konkrete e-mail, fx hvis den er en del af en løbende dialog.Eksempelvis hvis man har en e-mail liggende, hvor det er uklart hvorvidt der vil komme besvarelse, der nødvendiggør at have den oprindelige e-mail liggende. Det kan også være hvis man har e-mails indeholdende aftaler liggende, som strækker sig frem i tid.
4) Hvis man har et øvrigt sagligt behov for at gemme den, kan man gemme den så længe dette behov er gældende. Bemærk at det skal være et konkret behov, og ikke blot pga. bekvemmelighed ved historik.Dette vil ofte være en konkret og individuel vurdering. Det centrale spørgsmål er, om man har en forventning om, at man skal bruge denne specifikke mail, til en specifik senere opgave.

Angående punkt b)

1) Dette vil være særligt relevant for personalesager, studentersager, økonomisager eller e-mails der er nødvendige undervejs i indgåelsen af aftaler. Hvis det er muligt skal disse e-mails lægges i ESDH-systemet, F2 på den relevante sag.

Eksempelvis e-mails med sagsdannende indhold. Det kan være ansættelsessager, klagesager eller lignende.

Side 2

page2image30520832 page2image30509888

Angående punkt c)
1) E-mails som ikke indeholder personoplysninger kan beholdes på ubestemt tid.

Oftest vil det være e-mails man har modtaget fra en funktionspostkasse, og hvor indholdet ikke kan knyttes til en bestemt person.

Angående punkt d:

1) E-mails som er sendt eller modtaget i rent privat regi må beholdes på ubestemt tid. Det anbefales dog, at man sikrer sig at gemme disse mails et sted, hvor man ikke kommer til at slette dem ved uheld.

Emails som ikke er sendt mhp. at udføre en opgave for arbejdsgiver – eller e-mails som er modtaget fra venner, familie m.v. pga. denne sociale relation.

Særligt om forskningsdata

Generelt anbefales det ikke, at gemme forskningsdata i mailklienten, idet denne ikke er lige så sikker, som en permanent opbevaringsløsning. Skulle man have gemt forskningsdata i e-mailen, som er nødvendigt for et aktuelt forskningsprojekt, så kan man naturligvis gemme dem. Det samme vil gøre sig gældende for korrespondance relateret til dette projekt, medmindre det ikke er sandsynligt, at man får brug for det. Det anbefales dog, at man sorterer e-mails i mapper, således at man let kan frasortere mails når projektet er ovre.

Bemærk dog, at man som forsker kan blive bedt om at dokumentere sine projekters rådata i en årrække efter projektet er færdiggjort. Derfor kan sådant materiale som udgangspunkt opbevares i 5 år efter projektet er fuldendt. Hvis en bevillingsgiver kræver, at man opbevarer data længere, da kan man opbevare data i den af bevillingsgiveren fastsatte periode.

Side 3

page3image30814784 page3image30815168

Gode råd:

De e-mails som man konkluderer, at man godt kan gemme foreløbig, kan man med fordel organisere i mapper i e-mailklienten. Dette letter arbejdet med at slette dem senere, når de ikke længere er relevante.

Det gøres i Outlook ved at højreklikke på indbakken i venstre side – og trykke opret mappe. Herefter kan man give mappen et navn. Derefter kan man trække e-mails over i pågældende mappe, på samme måde som hvis man flytter dem til F2. Bemærk der nogle gange går et stykke tid, før de faktisk ligger i mappen. Hvis man ikke kan se dem der med det samme, så er de altså ikke forsvundet.

De e-mails, som man konkluderer har stor betydning ift. historik, kan man med fordel gemme i ikke- personhenførbar form. Man kan enten eksportere dem til pdf – og klippe identifikationsoplysninger ud. Alternativt kan man videresende e-mailen til sig selv og fjerne den nødvendige tekst, således at man har et anonymt dokument tilbage. På denne måde kan mailen blive i mail-klienten.

Der gøres opmærksom på, at det ikke er tilladt at overføre mailsne til private mail-konti eller usb-stik med henblik på at opbevare e-mails her. Det drejer sig ikke blot om hvor oplysningerne er gemt henne, men derimod om, at data overhovedet er gemt.

Ovenstående kan naturligvis føre til et meget stort antal spørgsmål omkring hvad der må gemmes, og hvad der ikke må. Sådanne spørgsmål skal rettes til Mads Tolderlund, tolderlund@ruc.dk

Henset til, at der forventes en større mængde spørgsmål om ovenstående kan der være længere behandlingstid end sædvanligt.

Side 4

page4image30521984 page4image30511232 page4image30519872