Rapport: Mange fonde sjusker med personoplysninger

Langt de fleste fonde håndterer ansøg­ninger via e-mail, viser en ny markeds­under­sø­gel­se foretaget af firmaet Exfor­matics. Men fondenes udbredte brug af e-mail kan let brin­ge fon­dene på kant med person­data­reg­ler­ne. Sådan lyder advarslen fra flere eks­perter, der bekræfter under­søgel­sens budskab om, at mange fondene endnu ikke er i mål med GDPR.

GDPR-råd
"Per­so­nop­lys­nin­ger må du kun be­hand­le, hvis du har en god grund. Du må ik­ke lu­ske, og du må ik­ke sju­ske. Så en­kelt kan de 99 GD­PR-ar­tik­ler egent­lig si­ges," for­tæl­ler Han­ne Ma­rie Mo­tz­feldt, lek­tor i di­gi­tal for­valt­ning ved Kø­ben­havns Uni­ver­si­tet. I ar­tik­len her­un­der brin­ger vi og­så en ræk­ke GD­PR-råd til fon­de fra ad­vo­kat Mar­le­ne Wint­her Plas, DLA Pi­per.

Fon­de­ne er end­nu ik­ke i mål med GDPR. Så­dan ly­der den over­ord­ne­de kon­klu­sion i en ny rap­port ud­ar­bej­det for fir­ma­et Ex­for­ma­ti­cs, der sæl­ger di­gi­ta­le ad­mi­ni­stra­tions­løs­nin­ger til fon­de.

Rap­por­ten ‘Dan­ske Fon­des Di­gi­ta­li­se­rings­ni­veau’ er ba­se­ret på in­ter­views med 87 for­skel­li­ge fon­de om blandt an­det de­res be­hand­ling af per­son­da­ta. Og iføl­ge fle­re eks­per­ter gi­ver fon­de­nes be­sva­rel­ser stof til ef­tertan­ke.

Rap­por­ten vi­ser for ek­sem­pel, at 78 pct. af de ads­purg­te fon­de pri­mært bru­ger e-mail til at kom­mu­ni­ke­re med an­sø­ger­ne, li­ge­som 31 pct. af de ads­purg­te fon­de vi­de­re­gi­ver an­søg­nin­ger til be­sty­rel­sen via e-mail.

Men den ud­bred­te brug af e-mail kan ska­be pro­ble­mer, un­der­stre­ger rap­por­ten. E-mail kan blandt an­det gø­re det van­ske­ligt at hol­de styr på, hvor­dan per­so­nop­lys­nin­ger spre­des, li­ge­som fon­den ved at bru­ge e-mail kan mi­ste kon­trol­len over da­ta:

“I dis­se til­fæl­de er det svært for fon­den at sik­re sig, at de får slet­tet en an­sø­gers per­son­li­ge da­ta fuldt ud og der­ved op­fyl­der ved­kom­men­des ret til at ‘bli­ve glemt’,” står der i rap­por­ten.

Og der­for kan et sy­stem, der gør det mu­ligt at kom­mu­ni­ke­re uden brug af e-mail, væ­re en styr­ke, for­tæl­ler di­rek­tør i Ex­for­ma­ti­cs, Hol­ger Foss:

"Et fondsad­mi­ni­stra­tions­sy­stem som vo­res er jo ik­ke lov­plig­tigt. Men hvis kom­mu­ni­ka­tio­nen mel­lem an­sø­ger, an­sat­te i se­kre­ta­ri­a­tet og be­sty­rel­ses­med­lem­mer, som sid­der rundt om i in­du­stri­en på hver sin ar­bejds­plads, fo­re­går på e-mail og in­de­hol­der per­son­li­ge op­lys­nin­ger, så lig­ger der jo et sik­ker­heds-is­sue, som kan væ­re ut­ro­lig svært at sty­re," si­ger Hol­ger Foss.

Dyrt ikke at forholde sig til GDPR

Bå­de Han­ne Ma­rie Mo­tz­feldt, lek­tor i di­gi­tal for­valt­ning ved Kø­ben­havns Uni­ver­si­tet, og Mar­le­ne Wint­her Plas, part­ner i ad­vo­kat­fir­ma­et DLA Pi­per, gen­ken­der rap­por­tens over­ord­ne­de bil­le­de.

Da­ta­til­sy­net kom­mer ik­ke hy­len­de og skri­gen­de og flår fon­de­ne fra hin­an­den, hvis de ba­re op­fø­rer sig no­gen­lun­de for­nuf­tigt. Men det bil­le­de, jeg ser her, er ik­ke no­gen­lun­de for­nuf­tigt.

Han­ne Ma­rie Mo­tz­feldt – lek­tor i di­gi­tal for­valt­ning, Kø­ben­havns Uni­ver­si­tet

"Det er ik­ke no­get godt bil­le­de. Det er ik­ke be­tryg­gen­de. Men jeg er ik­ke over­ra­sket,” si­ger Han­ne Ma­rie Mo­tz­feldt og fort­sæt­ter:

“Da­ta­til­sy­net kom­mer ik­ke hy­len­de og skri­gen­de og flår fon­de­ne fra hin­an­den, hvis de ba­re op­fø­rer sig no­gen­lun­de for­nuf­tigt. Men det bil­le­de, jeg ser her, er ik­ke no­gen­lun­de for­nuf­tigt,” si­ger Han­ne Ma­rie Mo­tz­feldt.

Iføl­ge Han­ne Ma­rie Mo­tz­feldt er det på ti­de, at fon­de­ne får styr på GD­PR-reg­ler­ne. Ik­ke mindst er det vig­tigt, at fon­de­ne bli­ver i stand til at do­ku­men­te­re over for myn­dig­he­der­ne, at de har for­holdt sig til reg­ler­ne.

Hvis ik­ke fon­de­ne får bragt or­den i sa­ger­ne, kan det nem­lig ko­ste man­ge pen­ge.

"Fon­de­ne kan ba­re gå ind og se på Da­ta­til­sy­nets nyhed om fir­ma­et ID De­sign. Fir­ma­et mang­le­de sim­pelt­hen at for­hol­de sig til reg­ler­ne. Det hav­de in­gen føl­som­me op­lys­nin­ger lig­gen­de, hvil­ket vil­le ha­ve gjort sa­gen me­get vær­re. Men fir­ma­et blev al­li­ge­vel indstil­let til en bø­de på 1,5 mio. kr.," si­ger Han­ne Ma­rie Mo­tz­feldt.

Han­ne Ma­rie Mo­tz­feldt un­der­stre­ger, at myn­dig­he­der­ne har ind­ført bø­der i mil­li­onklas­sen for at op­nå en af­skræk­ken­de virk­ning. Og at myn­dig­he­der­ne ik­ke har no­get pro­blem med at luk­ke en fond el­ler en virk­som­hed med en mil­li­onbø­de, hvis den ik­ke har styr på per­so­nop­lys­nin­ger­ne og kan do­ku­men­te­re det.

At man er en lil­le fond er in­gen und­skyld­ning for at luk­ke øj­ne­ne for GD­PR-reg­ler­ne, un­der­stre­ger ad­vo­kat og part­ner Mar­le­ne Wint­her Plas fra DLA Pi­per.

“Fra et GD­PR-syns­punkt er det ik­ke stør­rel­sen af fon­den, der er af­gø­ren­de, men mæng­den af per­so­nop­lys­nin­ger, der be­hand­les og op­lys­nin­ger­nes følsom­hed. Mæng­den af per­so­nop­lys­nin­ger vil ty­pisk føl­ge fon­dens stør­rel­se, men op­lys­nin­ger­nes følsom­hed vil ik­ke,” si­ger Mar­le­ne Wint­her Plas

Ekspert: Fokusér på GDPRs tre bud

Lek­tor Han­ne Ma­rie Mo­tz­feldt, der selv sid­der i be­sty­rel­sen i to min­dre fon­de, med­gi­ver, at GD­PR-om­rå­det kan væ­re kom­plekst. Men hun me­ner, at fon­de­ne kan kom­me langt ved at for­hol­de sig til de tre prin­cip­per, som hun kal­der GD­PRs ‘tre bud’.

"Per­so­nop­lys­nin­ger må du kun be­hand­le, hvis du har en god grund. Du må ik­ke lu­ske, og du må ik­ke sju­ske. Så en­kelt kan de 99 GD­PR-ar­tik­ler egent­lig si­ges. Og når jeg kig­ger på den her rap­port, ser det ik­ke ud til, at fon­de­ne har for­holdt sig til hjer­te­blo­det i GDPR, nem­lig de her tre bud," si­ger Han­ne Ma­rie Mo­tz­feldt og fort­sæt­ter:

"Du skal til en­hver tid kun­ne vi­se, at du har for­holdt dig til de tre bud. Du skal kun­ne do­ku­men­te­re det. Og det er dét, der kan gø­re ondt. For du kan ik­ke ta­le dig ud af GD­PR-reg­ler­ne, hvis myn­dig­he­der­ne be­der om at do­ku­men­ta­tion," si­ger Han­ne Ma­rie Mo­tz­feldt.

Ind­køb af et it-sy­stem kan væ­re et godt skridt på vej­en mod at bli­ve GD­PR-com­pli­ant, men det er ik­ke nok i sig selv at kø­be et it-sy­stem, da fon­den un­der al­le om­stæn­dig­he­der skal ta­ge for­skel­li­ge ak­ti­ve hand­lin­ger.

Mar­le­ne Wint­her Plas – ad­vo­kat og part­ner, DLA Pi­per

Om før­ste bud si­ger Han­ne Ma­rie Mo­tz­feldt:

"Du skal kun væ­re i be­sid­del­se af per­so­nop­lys­nin­ger, hvis du har en god grund til det. Og doven­skab er ik­ke en god grund. Men at du skal be­hand­le en an­søg­ning kan godt væ­re en grund. GDPR åb­ner vir­ke­lig op for da­ta­bru­gen, men du er nødt til at for­hol­de dig til, hvor­for du som fond har be­stem­te da­ta, og hvad du gør med dem," si­ger Han­ne Ma­rie Mo­tz­feldt.

An­det bud hand­ler om, at fon­de­ne ik­ke må ‘lu­ske’ med per­so­nop­lys­nin­ger:

"Når folk gi­ver dig per­so­nop­lys­nin­ger, skal du væ­re ær­lig om, hvad du gør med op­lys­nin­ger­ne. Det er for­di, man øn­sker at ska­be trans­pa­rens i de enor­me da­ta­strøm­me, der fin­des di­gi­talt. Så hvis du for ek­sem­pel har tænkt dig at vi­de­re­gi­ve nog­le af op­lys­nin­ger­ne, så skal du for­tæl­le folk det, al­le­re­de når de gi­ver op­lys­nin­ger­ne,” si­ger Han­ne Ma­rie Mo­tz­feldt.

Tred­je bud hand­ler om at und­gå sjusk:

“Fon­de­ne skal la­ve en ri­si­ko­a­na­ly­se, der for­hol­der sig til, om det kan in­de­bæ­re no­gen ri­si­ko for f.eks. an­sø­ger­ne at væ­re re­gi­stre­re­de. Hvis no­gen sø­ger om støt­te til at sagsø­ge de­res kom­mu­ne, så er det jo ik­ke hel­digt for dem, hvis det kom­mer ud i uti­de," si­ger Han­ne Ma­rie Mo­tz­feldt.

GDPR-råd

– fra Mar­le­ne Wint­her Plas, part­ner i ad­vo­kat­fir­ma­et DLA Pi­per

  • Fon­de, der be­hand­ler for­tro­li­ge el­ler føl­som­me op­lys­nin­ger, ek­sem­pel­vis fon­de der kun ud­de­ler mid­ler, hvis an­sø­ge­ren har en be­stemt syg­dom, re­li­gion, et­ni­ci­tet el­ler seksu­el ori­en­te­ring, skal i sær­lig grad væ­re for­sig­ti­ge og sik­re, at op­lys­nin­ger­ne ind­sam­les og op­be­va­res lov­ligt.
  • Fon­de, der ik­ke be­vidst ind­sam­ler føl­som­me op­lys­nin­ger, skal og­så væ­re op­mærk­som­me, da an­sø­ge­re en gang imel­lem in­klu­de­rer føl­som­me op­lys­nin­ger i en an­søg­ning, og­så uden at væ­re op­for­dret her­til.
  • Der skal kun ind­sam­les de per­so­nop­lys­nin­ger, som er re­le­van­te for be­hand­ling af an­søg­nin­ger
  • Brug af CPR-num­mer bør kun ske i det om­fang, det­te føl­ger af an­den lov­giv­ning, og CPR-num­mer bør ik­ke op­be­va­res i læn­ge­re tid, end hvad der er nød­ven­digt til det­te for­mål. CPR-num­mer bør der­for først ind­hen­tes, når det­te er re­le­vant. Fon­de bør ek­sem­pel­vis ik­ke bru­ge CPR-num­mer som jour­nalnum­mer.
  • Op­lys­nin­ger der ik­ke (læn­ge­re) er re­le­van­te for an­søg­nin­ger­ne, skal slet­tes el­ler ano­ny­mi­se­res. Det­te gi­ver of­te an­led­ning til ud­for­drin­ger. For fon­de, der be­hand­ler stør­re mæng­der per­so­nop­lys­nin­ger, er op­sæt­ning af au­to­ma­ti­ske slet­te­ru­ti­ner tæt på at væ­re den ene­ste for­nuf­ti­ge må­de at hånd­te­re det­te på – i hvert fald på læn­ge­re sigt.
  • Fy­sisk op­be­va­re­de op­lys­nin­ger er ik­ke al­tid om­fat­tet af GDPR, men vil ty­pisk væ­re det for fon­de, der ek­sem­pel­vis op­be­va­rer an­søg­nin­ger på struk­tu­re­ret vis i ring­bind. Der­u­d­over kan fy­sisk op­be­va­ring af op­lys­nin­ger gi­ve an­led­ning til en ræk­ke sik­ker­heds­mæs­si­ge ud­for­drin­ger, og dis­se bør der­for sær­ligt op­be­va­res af­låst, hvis der er ta­le om føl­som­me per­so­nop­lys­nin­ger.
  • Hvis fon­de bli­ver op­mærk­som­me på, at per­so­nop­lys­nin­ger om an­sø­ge­re er for­ker­te, skal op­lys­nin­ger­nes rig­tig­hed kon­trol­le­res og be­rig­ti­ges.

Der­for an­be­fa­les det, at fon­de som mini­mum ud­ar­bej­der:

  • En slet­tepo­li­tik, som be­skri­ver hvor­når fon­den sletter/anonymiserer per­so­nop­lys­nin­ger mod­ta­get fra an­sø­ge­re.
  • En pri­vat­livspo­li­tik, som bl.a. be­skri­ver hvor­le­des per­so­nop­lys­nin­ger be­hand­les, og hvil­ke ret­tig­he­der an­sø­ger­ne har i for­hold til de­res per­so­nop­lys­nin­ger. An­sø­ge­re skal bli­ve gjort be­kendt med pri­vat­livspo­li­tik­ken i for­bin­del­se med an­søg­nin­gen.
  • Da­ta­be­hand­ler­af­ta­ler med fon­dens un­der­le­ve­ran­dø­rer, her­un­der bl.a. ad­mi­ni­stra­tor og IT-le­ve­ran­dø­rer, hvor fon­den in­stru­e­rer da­ta­be­hand­le­ren om be­hand­ling af per­so­nop­lys­nin­ger­ne
  • En da­ta­for­teg­nel­se med en be­skri­vel­se af, hvil­ke per­so­nop­lys­nin­ger fon­den mod­ta­ger og be­hand­ler

Løsningen er ikke altid at købe en dims

Selv­om et it-sy­stem kan væ­re en hjælp, så lø­ser det ik­ke al­le pro­ble­mer, un­der­stre­ger ad­vo­kat Mar­le­ne Wint­her Plas fra DLA Pi­per:

“Ind­køb af et it-sy­stem kan væ­re et godt skridt på vej­en mod at bli­ve GD­PR-com­pli­ant, men det er ik­ke nok i sig selv at kø­be et it-sy­stem, da fon­den un­der al­le om­stæn­dig­he­der skal ta­ge for­skel­li­ge ak­ti­ve hand­lin­ger,” si­ger hun.

Lek­tor Han­ne Ma­rie Mo­tz­feldt er enig:

"Når jeg læ­ser rap­por­ten, vir­ker det ik­ke som om, at fon­de­ne har tænkt de her tre bud igen­nem. Så bli­ver den nem­me løs­ning må­ske at kø­be en dims i form af et it-sy­stem. Men det er ik­ke me­nin­gen med GDPR. Me­nin­gen er, at du skal for­hol­de dig til de tre bud og ta­ge dem al­vor­ligt.”

Og har man først gjort dét, så kan gra­tis værk­tø­jer fra det of­fent­li­ge fak­tisk ud­gø­re et fint al­ter­na­tiv til bå­de e-mail og me­re kom­plek­se it-sy­ste­mer, si­ger Han­ne Ma­rie Mo­tz­feldt:

"Fon­de­ne kan jo sen­de Di­gi­ta­li­se­rings­sty­rel­sen et ju­le­kort og si­ge tak for ‘e-boks’. Til­gå in­for­ma­tio­ner­ne dér. Det er sim­pelt­hen den nem­me­ste løs­ning, og det er drøn­sik­kert. Det be­hø­ver ik­ke at væ­re svæ­re­re,” si­ger Han­ne Ma­rie Mo­tz­feldt, der an­be­fa­ler at gå i gang med ar­bej­det straks:

"Sæt et punkt på næ­ste be­sty­rel­ses­mø­de om, at I skal ha­ve la­vet et styk­ke ar­bej­de for at for­hol­de jer til de tre bud. I ste­det for at ka­ste sig ud i at hy­re kon­su­len­ter til man­ge hund­re­de tu­sin­de kro­ner, så tag kon­takt til an­dre fon­de og find ud af, hvor­dan de har hånd­te­ret ar­bej­det. Der må vel væ­re mu­lig­hed for at ta­ge en di­a­log og de­le no­get ma­te­ri­a­le," slut­ter Han­ne Ma­rie Mo­tz­feldt.

Rap­por­ten fra Ex­for­ma­ti­cs kan down­lo­a­des her.