GDPR-øvelsen: fra 'slemme til at gemme' til 'hurtige til at slette'

Persondataforordningen GDPR gav travlhed i landets fonde, som skulle sikre, at syste­mer­ne kan håndtere de nye krav, der trådte i kraft i maj. Et af de spørgsmål, der nogle steder stadig fylder meget, er hvordan man i praksis skal håndtere afviste ansøgere. Oti­con Fonden har, siden de nye regler trådte i kraft, kun fået én henvendelse fra en an­sø­ger, som ønskede at få sine oplysninger anonymiseret. Men GDPR handler også om sik­ker­hed, og først når det går galt, skal systemet for alvor skal stå sin prøve, siger ekspert.

GDPR
”GDPR var et kæm­pe­pro­jekt frem til 25. maj. Og det er det rent fak­tisk sta­dig. Vi er slet ik­ke fær­di­ge,” si­ger Met­te Cor­ding Meyn, ad­mi­ni­stra­tor i Oti­con Fonden.

Der blev ar­bej­det på høj­tryk i man­ge dan­ske fon­de i må­ne­der­ne, uger­ne og da­ge­ne op til fre­dag den 25. maj 2018, hvor Ge­ne­ral Da­ta Pro­tection Re­gu­la­tion – bed­re kendt som den euro­pæis­ke da­ta­be­skyt­tel­ses­for­ord­ning GDPR – trå­d­te i kraft.

Selv om det nu er et halvt år si­den, at EU-reg­ler­ne om virk­som­he­ders, her­un­der fon­des, be­hand­ling af per­so­nop­lys­nin­ger gik fra for­be­re­del­ses­sta­di­et til at væ­re gæl­den­de lov, bli­ver der sta­dig holdt man­ge og lan­ge mø­der i fonds­ver­de­nen om GDPR. Og brugt tid og pen­ge på at ud­vik­le nye systemer.

Som ad­mi­ni­stra­tor i Oti­con Fon­den Met­te Cor­ding Meyn ud­tryk­ker det:

”GDPR var et kæm­pe­pro­jekt frem til 25. maj. Og det er det rent fak­tisk sta­dig. Vi er slet ik­ke færdige.”

Oti­con Fon­den star­te­de for­be­re­del­ser­ne frem imod 25. maj om­kring et halvt år for­in­den. Det ske­te i sam­ar­bej­de med Au­gusti­nus Fon­den og Carls­berg­fon­det samt med Hedor­fs Fond på sidelinjen.

”Vi brug­te pænt lang tid in­den 25. maj i grup­pen, som og­så om­fat­ter vo­res sy­stem­le­ve­ran­dør Co­lum­bus, på at snak­ke om, hvor­dan vi sy­stem­mæs­sigt skul­le hånd­te­re de nye krav. Vi blev klo­ge­re un­der­vejs og fandt blandt an­det ud af, hvor me­get GDPR gri­ber ind i. Og da vi var frem­me ved den 25. maj, var vi klar til at kun­ne op­fyl­de øn­sket, hvis an­sø­ge­re skrev el­ler rin­ge­de ind og bad om at få en li­ste over, hvad vi har stå­en­de om dem. Og vi var klar til at ano­ny­mi­se­re – ik­ke slet­te – an­sø­ger­ne i sy­ste­met, hvis de vel at mær­ke op­fyl­der nog­le for­skel­li­ge kri­te­ri­er, som vi har de­fi­ne­ret,” for­tæl­ler Met­te Cor­ding Meyn.

Ad­vo­kat og part­ner hos ad­vo­kat­fir­ma­et Bech-Bruun Tho­mas Munk Ras­mus­sen har ar­bej­det in­ten­sivt med GDPR og blandt an­det un­der­vist fon­de og for­e­nin­ger i, hvor­dan de hånd­te­rer de nye reg­ler. Han op­le­ver, at fon­de­ne i Dan­mark ge­ne­relt har ta­get ar­bej­det se­ri­øst og al­vor­ligt. Og for man­ge fon­de har det kræ­vet en helt ny må­de at hånd­te­re an­søg­nin­ger på for at mat­che de nye krav.

”Fon­de har ge­ne­relt væ­ret slem­me til at gem­me op­lys­nin­ger for læn­ge, slem­me til at gem­me an­søg­nin­ger, som al­le­re­de er af­vist, og så har de ik­ke væ­ret så go­de til at in­for­me­re an­sø­ge­re ty­de­ligt om, at ’når du sen­der op­lys­nin­ger ind til os, så gør vi så­dan og så­dan’. Men jeg op­le­ver, at ef­ter­hån­den, som de er be­gyndt at ar­bej­de med de her ting, har de re­la­tivt hur­tigt få­et hånd om det og blandt an­det sik­ret den nød­ven­di­ge do­ku­men­ta­tion,” si­ger Tho­mas Munk Rasmussen.

Omvendt bevisbyrde

Ad­vo­ka­ten po­in­te­r­er, at det væ­sent­lig­ste for fon­de­ne er at kun­ne do­ku­men­te­re, at de o­ver­hold­er lovgivningen.

”Det er ta­le om en slags om­vendt be­vis­byr­de. Hvis Da­ta­til­sy­net ban­ker på dø­ren, skal man kun­ne do­ku­men­te­re, at man blandt an­det har styr på de vig­tig­ste pro­ces­ser, har gi­vet den nød­ven­di­ge in­for­ma­tion og ik­ke gem­mer op­lys­nin­ger læn­ge­re end hø­jest nød­ven­digt. At kun­ne do­ku­men­te­re at man over­hold­er lov­giv­nin­gen, er den tun­ge­ste sten. Det har fon­de­ne ik­ke hidtil væ­ret vant til,” si­ger Tho­mas Munk Rasmussen.

Et af de spørgs­mål, som har fyldt – og sta­dig fyl­der – me­get i Oti­con Fon­dens GD­PR-ar­bej­de er hånd­te­rin­gen af de af­vi­ste an­sø­ge­re. Oti­con Fon­den har be­slut­tet at gem­me an­søg­nin­ger­ne fra af­vi­ste an­sø­ge­re i ét år plus lø­ben­de år, alt­så i op til to år, hvor­ef­ter de bli­ver ano­ny­mi­se­ret i sy­ste­met. Og højt på ad­mi­ni­stra­tor Met­te Cor­ding Meyns øn­ske­li­ste står et sy­stem, som er i stand til at ‘mas­se­a­no­ny­mi­se­re’ de an­sø­ge­re, som ik­ke er slup­pet igen­nem fon­dens nåleøje.

”Vi ar­bej­der på en Ver­sion 2, hvor vi kan mas­se­a­no­ny­mi­se­re, så vi ik­ke skal sid­de og gø­re det en­kelt­vis. Oti­con Fon­den får rig­tig man­ge an­søg­nin­ger, cir­ka 4.300 om året, og skal al­le de af­vi­ste ma­nu­elt ano­ny­mi­se­res, er det et kæm­pe­stort ar­bej­de,” si­ger Met­te Cor­ding Meyn.

Iføl­ge Tho­mas Munk Ras­mus­sen er der in­gen ‘fa­cit­lis­te’ i for­hold til, hvor­når og hvor hur­tigt fon­den skal slet­te an­søg­nin­ger, li­ge­som man har i an­den lovgivning.

”I for­hold til hvid­va­s­k­lov­giv­nin­gen må ma­te­ri­a­le mak­si­malt gem­mes i fem år, ef­ter at en kun­de­re­la­tion er op­hørt, og i HR-ver­de­nen er der reg­ler om, at an­søg­nin­ger kun må gem­mes i seks må­ne­der, ef­ter at man har mod­ta­get den, med min­dre man har få­et an­sø­ge­rens sam­tyk­ke til me­re. Li­ge præ­cis på GD­PR-om­rå­det er der ik­ke no­gen fa­ste fri­ster. Fon­de­ne skal selv ind og vur­de­re, hvad der er sag­ligt for den kon­kre­te fond,” for­kla­rer Tho­mas Munk Rasmussen.

Så hvis en fond kom­mer til at læk­ke en mas­se per­so­nop­lys­nin­ger, er det først dér, at til­syns­myn­dig­he­der­ne og jour­na­li­ster­ne be­gyn­der at kig­ge på, om fon­den har styr på reg­ler­ne og spør­ge, hvor­for har de ik­ke gjort så­dan og så­dan? Det er dér, det for al­vor skal stå sin prøve.

Tho­mas Munk Ras­mus­sen – ad­vo­kat og part­ner hos Bech-Bruun

Slette efter klagefrist

Når Oti­con Fon­den hånd­te­rer de an­sø­ge­re, der får be­vil­lin­ger – hvil­ket især er in­den for au­dio­lo­gi og hø­rel­se, un­ges stu­di­e­op­hold og ph.d.-afhandlinger – er den nye pro­ce­du­re at gem­me an­søg­nin­ger­ne i fem år plus det lø­ben­de år. Det sker for dels at over­hol­de regn­skabs­lo­ven, men og­så, som Met­te Cor­ding Meyn ud­tryk­ker det, ”så vi er sik­re på ik­ke at kom­me til at ano­ny­mi­se­re no­get, der er for nyt”.

Ud fra de­vi­sen om med det sam­me at slet­te de op­lys­nin­ger, man ik­ke læn­ge­re har brug for, un­drer Tho­mas Munk Ras­mus­sen sig umid­del­bart, når han hø­rer om fon­de, som gem­mer do­ku­men­ter fra af­vi­ste an­sø­ge­re i op til to år.

”Det sy­nes jeg ly­der som lang tid. Men en år­sag til at gem­me i så lang tid kan jo for ek­sem­pel væ­re, hvis der kom­mer kla­ger. Som ud­gangs­punkt kan man si­ge, at hvis man ik­ke vil ud­de­le no­get til en an­sø­ger, så er der strengt ta­get ik­ke no­gen grund til at gem­me op­lys­nin­ger­ne. Så snart man har ta­get be­slut­nin­gen om ik­ke at vil­le gi­ve no­get, bør man slet­te op­lys­nin­ger­ne. Der er ik­ke no­get sag­ligt for­mål i at gem­me dem,” po­in­te­r­er advokaten.

Bech-Bruun har væ­ret i di­a­log med fon­de, som ger­ne vil gem­me ma­te­ri­a­le fra af­vi­ste an­sø­ge­re med den be­grun­del­se, at der kan kom­me kla­ger. Det er iføl­ge Tho­mas Munk Ras­mus­sen et ar­gu­ment – men, som han si­ger, ”ik­ke et tungt nok ar­gu­ment til at gem­me fle­re tu­sind ansøgninger”.

”Har man for ek­sem­pel en klage­frist i si­ne vil­kår på tre el­ler seks må­ne­der, kan man gem­me an­søg­nin­ger­ne in­den for den frist. El­lers bør man slet­te dem. Men i for­hold til dem, som rent fak­tisk har få­et en ud­de­ling, skal man bog­fø­rings­lo­vs­mæs­sigt kun­ne do­ku­men­te­re, hvad man har la­vet. Her kan en tom­mel­finger­re­gel sag­tens væ­re fem år,” si­ger Tho­mas Munk Rasmussen.

Kan give bøder på op til 20 mio. Euro

Mens det er op til de en­kel­te fon­de at fin­de ud af, hvor hur­tigt an­søg­nin­ger bli­ver ano­ny­mi­se­ret el­ler slet­tet, er reg­ler­ne om­kring ud­le­ve­ring af op­lys­nin­ger me­re kla­re. Som an­sø­ger har man ret til at vi­de, hvad fon­den har re­gi­stre­ret om én, og hen­ven­der man sig som an­sø­ger til en fond med en så­dan fo­re­spørgsel, skal fon­den sva­re in­den for fi­re uger.

”Fi­re ugers fri­sten gæl­der uan­set, om man har få­et en be­vil­ling el­ler er ble­vet af­vist. Nog­le af de ret­tig­he­der, man har, hav­de man og­så i den tid­li­ge­re lov­giv­ning. Den væ­sent­lig­ste for­skel er sank­tio­nen. Hvis man ik­ke gør, som man skal, fal­der ham­me­ren lidt tun­ge­re, end den gjor­de før,” si­ger Tho­mas Munk Rasmussen.

Og ham­me­ren kan vir­ke­lig ram­me hårdt. Der er hjem­mel til at gi­ve bø­der helt op til 20 mil­lio­ner Eu­ro for de vær­ste over­træ­del­ser af persondata­forordningen el­ler op til fi­re pro­cent af kon­cernens år­li­ge, glo­ba­le omsætning.

Hvor­når de før­ste bø­der vil bli­ve ud­delt, er end­nu et godt spørgs­mål. I et in­ter­view i ok­to­ber i ma­ga­si­net Eu­ra­ctiv med Giovan­ni But­ta­rel­li, der er Eu­ro­pe­an da­ta pro­tection su­per­visor i EU, for­tal­te han, at de før­ste GD­PR-bø­der el­ler -på­bud for­ven­tes ”mod årets slutning”.

Her­hjem­me sag­de Da­ta­til­sy­nets di­rek­tør, Cri­sti­na An­gela Gulisa­no, i sep­tem­ber, at til­sy­net er på vej med de før­ste po­li­ti­an­mel­del­ser for over­træ­del­se af GDPR. De før­ste af­gø­rel­ser vil iføl­ge Cri­sti­na An­gela Gulisa­no gi­ve et pej­le­mær­ke for det ni­veau, som sank­tio­ner­ne ef­ter­føl­gen­de skal lig­ge på.

Kun én henvendelse fra ansøger i kølvandet på GDPR

Ind­til vi­de­re kræ­ver det sta­dig kun én hånd – el­ler ret­te­re: én fin­ger – når Oti­con Fon­den skal tæl­le, hvor man­ge hen­ven­del­ser, der er kom­met fra fonds­an­sø­ge­re, som øn­sker at be­nyt­te sig af de nye mu­lig­he­der for at få ind­sigt i, hvil­ke op­lys­nin­ger fon­den har gemt.

”Si­den 25. maj har vi få­et én hen­ven­del­se, så det er ik­ke så­dan, at vi bli­ver lagt ned på grund af det! Hen­ven­del­sen kom­mer fra en per­son, som øn­sker at bli­ve ano­ny­mi­se­ret. Det sjove er, at vi jo ta­ler sam­men med de an­dre fon­de, og Au­gusti­nus Fon­den har og­så kun mod­ta­get én hen­ven­del­se,” for­tæl­ler Met­te Cor­ding Meyn.

Hun gæt­ter på, at når der ik­ke er kom­met fle­re, skyl­des det, at blandt an­dre de un­ge stu­der­en­de med øn­sker om ud­lands­op­hold, som fyl­der me­get i an­søg­nings­bun­ker­ne hos Oti­con Fon­den, er li­geg­la­de med GDPR.

”De un­ge, som al­tid er on­li­ne, er li­geg­la­de. Hvis det her var så vig­tigt for folk, hav­de vi nok få­et nog­le fle­re hen­ven­del­ser,” si­ger Met­te Cor­ding Meyn.

Tho­mas Munk Ras­mus­sen vil ik­ke ka­ste sig ud i vur­de­rin­ger af, hvor man­ge hen­ven­del­ser fon­de­ne skal for­ven­te at få. Men selv­om det ind­til vi­de­re me­get be­græn­se­de an­tal hen­vend­el­ser må­ske kan fø­re til den tan­ke, at der sky­des grås­pur­ve med ka­no­ner, un­der­stre­ger ad­vo­ka­ten, at GDPR på et over­ord­net sik­ker­heds­ni­veau har væ­ret en vi­tal øjenåbner:

”Det er vig­tigt at hu­ske, at GDPR og­så hand­ler om sik­ker­hed og om at ha­ve et pas­sen­de højt tek­nisk og or­ga­ni­sa­to­risk sik­ker­heds­ni­veau. Og li­ge­som med så man­ge an­dre ting er det først, når tin­ge­ne går galt, at der kom­mer fo­kus på, om man over­hol­der lov­giv­nin­gen. Så hvis en fond kom­mer til at læk­ke en mas­se per­so­nop­lys­nin­ger, er det først dér, at til­syns­myn­dig­he­der­ne og jour­na­li­ster­ne be­gyn­der at kig­ge på, om fon­den har styr på reg­ler­ne og spør­ge, hvor­for har de ik­ke gjort så­dan og så­dan? Det er dér, det for al­vor skal stå sin prø­ve,” si­ger Tho­mas Munk Rasmussen.

Vil du læse artiklen?

Med et abon­ne­ment får du fuld ad­gang til fun​dats​.dk.

Det ko­ster at pro­du­ce­re uaf­hæn­gig og dyb­de­bo­ren­de jour­na­li­stisk. Læs me­re om Fun­dats og se pri­ser­ne for at abon­ne­re her.

Abon­nér

Allerede abonnent? Log ind her:

spot_img

Skribent

Michael Monty
Michael Monty
Journalist

Læs mere om

Kategorier:

Tags:

Læs også

Forsiden lige nu

Coronakrise

Serie: Gode Ramme for Gode Donationer