25. maj 2018, kl. 08:17
En moderne computer har tilstrækkelig lagerkapacitet til at gemme både kundekartotek, varelager og personaledatabase for en hel virksomhed. Derfor handler de nye EU-regler om persondata ikke så meget om, hvad der bliver puttet ind i registrene, men nærmere om at man også skal huske at rydde op en gang imellem.
Også Vestforsyning har givet sine forretningsgange et serviceeftersyn, fortæller HR-chef Heidi Bergenhammer, som sammen med lederen for Kundeservice og IT-chefen har været en del af et taskforce-team, der har været tovholdere på "persondata-projektet".
"Førhen, hvor man brugte papirarkiver, gav det næsten sig selv: Når der ikke var mere plads i reolerne, så ryddede man op og makulerede gamle arkiver. Men nu, hvor det meste er digitalt, så skal vi have styr på, hvordan vi får slettet data," forklarer hun.
Netop 'retten til at blive glemt' har været det gennemgående tema i de nye EU-regler. For det har vist sig, at mange it-systemer slet ikke indeholder funktioner, der rydder op i gamle data.
Se vores persondatapolitik her
Arbejdet med de nye regler er foregået i tæt samarbejde med it-afdelingen og repræsentanter fra forskellige afdelinger i Vestforsyning. Og det har givet anledning til mange gode diskussioner om, hvordan Vestforsyning bør behandle persondata.
"Der vil altid være nogle gråzoner."
"Der vil altid være nogle gråzoner. Hvor længe skal man for eksempel gemme referat af en MUS-samtale med en medarbejder? Skal man gemme data, hvis en medarbejder siger op? Vi har jo haft flere, som kom tilbage efter et par år i et andet job. Hvad gør vi med kundedata, hvis en kunde skifter el-selskab?" siger Heidi Bergenhammer, som selv har svaret på i hvert fald nogle af spørgsmålene:
Bogføringsloven siger, at vi skal gemme alle regnskabsdata i mindst fem år. Så det kan være nødvendigt, at gemme oplysninger om kunder i op til fem år efter, at de er flyttet til en anden by, eller gemme oplysninger om medarbejdere i op til fem år efter, at de er fratrådt. Men hvis vi så skal slette det igen, kommer meget af det til at foregå manuelt, fordi systemerne simpelthen ikke kan håndtere det endnu", siger hun.
De nye EU-regler handler dog ikke kun om retten til at blive glemt, men også om, hvad man må registrere, og hvem der må se data.
"Det har vi sådan set hele tiden haft godt styr på. Vi har også været gode til at sikre os, at fortrolige oplysninger ikke bare ligger frit tilgængelige," siger HR-chefen og peger på et pengeskab, der står i hjørnet af hendes kontor. Her opbevares fortrolige personaleoplysninger, så de er beskyttet mod, at kolleger, gæster og rengøringspersonale kommer til at kigge i papirerne.
"Vores arbejdsgruppe har bekræftet, at vi har en god kultur i hele Vestforsyning, når det handler om persondata. Vi har de rette interne arbejdsgange til at sikre, at man kun har adgang til de data, som er nødvendige for ens arbejde. De nye EU-regler sikrer, at vi bliver ved med at holde de fokus", siger Heidi Bergenhammer.
Danske virksomheder har brugt enorme ressourcer på at implementere de nye EU-regler, men der er stadig stor usikkerhed om, hvordan man skal forholde sig. Det vil nok fortsætte et stykke tid endnu.
"Vejledningerne fra bl.a. Datatilsynet kommer løbende. Vi kommer måske til at se en eller flere danske prøve-retssager, som kommer til at definere 'god skik', og så vil vi efterhånden få nogle bedre vejledninger," spår HR-chefen.
"... vi har en god kultur i hele Vestforsyning, når det handler om persondata ..."
Datatilsynets seneste "Vejledning om de registreredes rettigheder" er fra 14. marts 2018. Vejledningen kan læses på www.datatilsynet.dk. Det kan være en god idé, at have en kop stærk kaffe inden for rækkevidde, inden man kaster sig over den 59 sider lange vejledning.
