Der blev arbejdet på højtryk i mange danske fonde i månederne, ugerne og dagene op til fredag den 25. maj 2018, hvor General Data Protection Regulation – bedre kendt som den europæiske databeskyttelsesforordning GDPR – trådte i kraft.
Selv om det nu er et halvt år siden, at EU-reglerne om virksomheders, herunder fondes, behandling af personoplysninger gik fra forberedelsesstadiet til at være gældende lov, bliver der stadig holdt mange og lange møder i fondsverdenen om GDPR. Og brugt tid og penge på at udvikle nye systemer.
Som administrator i Oticon Fonden Mette Cording Meyn udtrykker det:
”GDPR var et kæmpeprojekt frem til 25. maj. Og det er det rent faktisk stadig. Vi er slet ikke færdige.”
Oticon Fonden startede forberedelserne frem imod 25. maj omkring et halvt år forinden. Det skete i samarbejde med Augustinus Fonden og Carlsbergfondet samt med Hedorfs Fond på sidelinjen.
”Vi brugte pænt lang tid inden 25. maj i gruppen, som også omfatter vores systemleverandør Columbus, på at snakke om, hvordan vi systemmæssigt skulle håndtere de nye krav. Vi blev klogere undervejs og fandt blandt andet ud af, hvor meget GDPR griber ind i. Og da vi var fremme ved den 25. maj, var vi klar til at kunne opfylde ønsket, hvis ansøgere skrev eller ringede ind og bad om at få en liste over, hvad vi har stående om dem. Og vi var klar til at anonymisere – ikke slette – ansøgerne i systemet, hvis de vel at mærke opfylder nogle forskellige kriterier, som vi har defineret,” fortæller Mette Cording Meyn.
Advokat og partner hos advokatfirmaet Bech-Bruun Thomas Munk Rasmussen har arbejdet intensivt med GDPR og blandt andet undervist fonde og foreninger i, hvordan de håndterer de nye regler. Han oplever, at fondene i Danmark generelt har taget arbejdet seriøst og alvorligt. Og for mange fonde har det krævet en helt ny måde at håndtere ansøgninger på for at matche de nye krav.
”Fonde har generelt været slemme til at gemme oplysninger for længe, slemme til at gemme ansøgninger, som allerede er afvist, og så har de ikke været så gode til at informere ansøgere tydeligt om, at ’når du sender oplysninger ind til os, så gør vi sådan og sådan’. Men jeg oplever, at efterhånden, som de er begyndt at arbejde med de her ting, har de relativt hurtigt fået hånd om det og blandt andet sikret den nødvendige dokumentation,” siger Thomas Munk Rasmussen.
Omvendt bevisbyrde
Advokaten pointerer, at det væsentligste for fondene er at kunne dokumentere, at de overholder lovgivningen.
”Det er tale om en slags omvendt bevisbyrde. Hvis Datatilsynet banker på døren, skal man kunne dokumentere, at man blandt andet har styr på de vigtigste processer, har givet den nødvendige information og ikke gemmer oplysninger længere end højest nødvendigt. At kunne dokumentere at man overholder lovgivningen, er den tungeste sten. Det har fondene ikke hidtil været vant til,” siger Thomas Munk Rasmussen.
Et af de spørgsmål, som har fyldt – og stadig fylder – meget i Oticon Fondens GDPR-arbejde er håndteringen af de afviste ansøgere. Oticon Fonden har besluttet at gemme ansøgningerne fra afviste ansøgere i ét år plus løbende år, altså i op til to år, hvorefter de bliver anonymiseret i systemet. Og højt på administrator Mette Cording Meyns ønskeliste står et system, som er i stand til at ‘masseanonymisere’ de ansøgere, som ikke er sluppet igennem fondens nåleøje.
”Vi arbejder på en Version 2, hvor vi kan masseanonymisere, så vi ikke skal sidde og gøre det enkeltvis. Oticon Fonden får rigtig mange ansøgninger, cirka 4.300 om året, og skal alle de afviste manuelt anonymiseres, er det et kæmpestort arbejde,” siger Mette Cording Meyn.
Ifølge Thomas Munk Rasmussen er der ingen ‘facitliste’ i forhold til, hvornår og hvor hurtigt fonden skal slette ansøgninger, ligesom man har i anden lovgivning.
”I forhold til hvidvasklovgivningen må materiale maksimalt gemmes i fem år, efter at en kunderelation er ophørt, og i HR-verdenen er der regler om, at ansøgninger kun må gemmes i seks måneder, efter at man har modtaget den, med mindre man har fået ansøgerens samtykke til mere. Lige præcis på GDPR-området er der ikke nogen faste frister. Fondene skal selv ind og vurdere, hvad der er sagligt for den konkrete fond,” forklarer Thomas Munk Rasmussen.
Så hvis en fond kommer til at lække en masse personoplysninger, er det først dér, at tilsynsmyndighederne og journalisterne begynder at kigge på, om fonden har styr på reglerne og spørge, hvorfor har de ikke gjort sådan og sådan? Det er dér, det for alvor skal stå sin prøve.
Thomas Munk Rasmussen – advokat og partner hos Bech-Bruun
Slette efter klagefrist
Når Oticon Fonden håndterer de ansøgere, der får bevillinger – hvilket især er inden for audiologi og hørelse, unges studieophold og ph.d.-afhandlinger – er den nye procedure at gemme ansøgningerne i fem år plus det løbende år. Det sker for dels at overholde regnskabsloven, men også, som Mette Cording Meyn udtrykker det, ”så vi er sikre på ikke at komme til at anonymisere noget, der er for nyt”.
Ud fra devisen om med det samme at slette de oplysninger, man ikke længere har brug for, undrer Thomas Munk Rasmussen sig umiddelbart, når han hører om fonde, som gemmer dokumenter fra afviste ansøgere i op til to år.
”Det synes jeg lyder som lang tid. Men en årsag til at gemme i så lang tid kan jo for eksempel være, hvis der kommer klager. Som udgangspunkt kan man sige, at hvis man ikke vil uddele noget til en ansøger, så er der strengt taget ikke nogen grund til at gemme oplysningerne. Så snart man har taget beslutningen om ikke at ville give noget, bør man slette oplysningerne. Der er ikke noget sagligt formål i at gemme dem,” pointerer advokaten.
Bech-Bruun har været i dialog med fonde, som gerne vil gemme materiale fra afviste ansøgere med den begrundelse, at der kan komme klager. Det er ifølge Thomas Munk Rasmussen et argument – men, som han siger, ”ikke et tungt nok argument til at gemme flere tusind ansøgninger”.
”Har man for eksempel en klagefrist i sine vilkår på tre eller seks måneder, kan man gemme ansøgningerne inden for den frist. Ellers bør man slette dem. Men i forhold til dem, som rent faktisk har fået en uddeling, skal man bogføringslovsmæssigt kunne dokumentere, hvad man har lavet. Her kan en tommelfingerregel sagtens være fem år,” siger Thomas Munk Rasmussen.
Kan give bøder på op til 20 mio. Euro
Mens det er op til de enkelte fonde at finde ud af, hvor hurtigt ansøgninger bliver anonymiseret eller slettet, er reglerne omkring udlevering af oplysninger mere klare. Som ansøger har man ret til at vide, hvad fonden har registreret om én, og henvender man sig som ansøger til en fond med en sådan forespørgsel, skal fonden svare inden for fire uger.
”Fire ugers fristen gælder uanset, om man har fået en bevilling eller er blevet afvist. Nogle af de rettigheder, man har, havde man også i den tidligere lovgivning. Den væsentligste forskel er sanktionen. Hvis man ikke gør, som man skal, falder hammeren lidt tungere, end den gjorde før,” siger Thomas Munk Rasmussen.
Og hammeren kan virkelig ramme hårdt. Der er hjemmel til at give bøder helt op til 20 millioner Euro for de værste overtrædelser af persondataforordningen eller op til fire procent af koncernens årlige, globale omsætning.
Hvornår de første bøder vil blive uddelt, er endnu et godt spørgsmål. I et interview i oktober i magasinet Euractiv med Giovanni Buttarelli, der er European data protection supervisor i EU, fortalte han, at de første GDPR-bøder eller -påbud forventes ”mod årets slutning”.
Herhjemme sagde Datatilsynets direktør, Cristina Angela Gulisano, i september, at tilsynet er på vej med de første politianmeldelser for overtrædelse af GDPR. De første afgørelser vil ifølge Cristina Angela Gulisano give et pejlemærke for det niveau, som sanktionerne efterfølgende skal ligge på.
Kun én henvendelse fra ansøger i kølvandet på GDPR
Indtil videre kræver det stadig kun én hånd – eller rettere: én finger – når Oticon Fonden skal tælle, hvor mange henvendelser, der er kommet fra fondsansøgere, som ønsker at benytte sig af de nye muligheder for at få indsigt i, hvilke oplysninger fonden har gemt.
”Siden 25. maj har vi fået én henvendelse, så det er ikke sådan, at vi bliver lagt ned på grund af det! Henvendelsen kommer fra en person, som ønsker at blive anonymiseret. Det sjove er, at vi jo taler sammen med de andre fonde, og Augustinus Fonden har også kun modtaget én henvendelse,” fortæller Mette Cording Meyn.
Hun gætter på, at når der ikke er kommet flere, skyldes det, at blandt andre de unge studerende med ønsker om udlandsophold, som fylder meget i ansøgningsbunkerne hos Oticon Fonden, er ligeglade med GDPR.
”De unge, som altid er online, er så ligeglade. Hvis det her var så vigtigt for folk, havde vi nok fået nogle flere henvendelser,” siger Mette Cording Meyn.
Thomas Munk Rasmussen vil ikke kaste sig ud i vurderinger af, hvor mange henvendelser fondene skal forvente at få. Men selvom det indtil videre meget begrænsede antal henvendelser måske kan føre til den tanke, at der skydes gråspurve med kanoner, understreger advokaten, at GDPR på et overordnet sikkerhedsniveau har været en vital øjenåbner:
”Det er vigtigt at huske, at GDPR også handler om sikkerhed og om at have et passende højt teknisk og organisatorisk sikkerhedsniveau. Og ligesom med så mange andre ting er det først, når tingene går galt, at der kommer fokus på, om man overholder lovgivningen. Så hvis en fond kommer til at lække en masse personoplysninger, er det først dér, at tilsynsmyndighederne og journalisterne begynder at kigge på, om fonden har styr på reglerne og spørge, hvorfor har de ikke gjort sådan og sådan? Det er dér, det for alvor skal stå sin prøve,” siger Thomas Munk Rasmussen.
