Konsulenthus: Whiteboards og post-its med persondata er - også - ulovligt under GDPR

Illustration: Privatfoto
Tavler og whiteboard med personfølsom data ses ofte på plejehjem. Det er ulovligt under persondataloven, og det kan straffes med bøde under GDPR.

Persondataforordningen, GDPR, gælder ikke kun it-systemer. Tavler på diverse plejehjem, fyldt med vagtskemaer, kodeord og data om borgerens diæt eller væskeindtag, er et eksempel på analoge systemer som også er omfattet.

Traditionelt er plejehjemmenes opslagstavler og whiteboards plastret til med persondata, hvilket er problematisk under GDPR skriver SamfundsDesign.dk

»Når jeg er rundt og besøge landets sociale tilbud og plejehjem, ser jeg, at de stadig anvender en eller flere opslagstavler placeret rundt omkring i huset, som ikke lever op til den kommende persondataforordning,« siger senior manager Brian Østergaard fra konsulenthuset EG.

Problemet er, at tavlerne ofte bliver benyttet til at hænge lister op på med fx navn, mål, delmål, risikovurderinger og andre personfølsomme oplysninger. Det samme gælder post-its med konkrete oplysninger om borgere eller ligefrem fælles kodeord til den fælles pc.

Men det går ikke. Alle former for personfølsomme data skal væk fra de fælles opslagstavler og whiteboards, væk fra lapper på medarbejdernes skriveborde og post-its på computerskærmen. Den slags oplysninger skal fremover kun findes i sikrede systemer, hvor der er styr på, hvem der har adgang til data, og hvordan denne adgang er brugt, lyder det fra EG.

Desuden er det i strid med Persondatalovens §5 om god databehandlingsskik, det samme gør sig gældende i »Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning« i §8 af bekendtgørelsen fremgår det, at der skal »træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.«

Læs også: Dårlig it-sikkerhed hos praktiserende læger kan blive dyrt under GDPR

Det vil også kunne straffes under GDPR. Særligt artikel 5, som foreskriver at “Data skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger.”

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

Har selv nogle gange stået også i private firmaer, og undret mig over at de ikke kunne se at det er lidt udbasunerende at man kan se.

At nogle har AIDS, eller Kønsvorter. Eller hvor meget nogle er syge og hvad de fejler. Og utallige andre personlig ting, som jeg ikke selv vil bryde mig om, lå til offentligskue.

Men det har nok været ulovligt altid. Men det har helt tiden, været tåbelig og tankeløs.

Man kunne komme langt, ved kun at have sådan en opslags tavle, hvor personalet må være, og hvor man ikke kan se ind ude fra. De værste ting kunne så piles ned, vendes eller på anden måde beskyttes.

  • 5
  • 0
Ditlev Petersen

af flere ville være en elektronisk skærm (en storskærm med høj opløsning) og en automatisk login fra en badge, som hver ansat bærer. Det vil sikkert også være ulovligt, da der ikke indtastes password hver gang, men det ville da fungere og være sikrere end her. Især hvis man kunne lave et ret frit format til de meget forskellige oplysninger, der er brug for. Man kunne endda lave en touch zoom på "tavlen".

Når den/de ansatte går væk fra skærmen, går den enten i sort eller viser en eller anden anden form for (ikke følsom) information.

Men om man faktisk kan lave noget, der er lige så nemt som post-it (og få det gennem et udbud!), ved jeg ikke.

  • 0
  • 0
Per Jeppesen

Jeg bliver lidt arrig. Selvfølgelig skriver man ikke "Hans Peter Hermansen skal behandles for skæl" på plejehjemmets opslagstavle ude ved indgangen. Det er imidlertid ikke andet end sund fornuft og anstændighed.
Jeg vil godt advare imod, at gøre GDPR til et akademisk fortænkt principrytteri og "her kommer jeg hr ultravigtige DPO (wannabee)". Pas på at holde benene på jorden og vær troværdig i GDPR. Ellers er der ingen der gider lytte efter sommerferien

  • 13
  • 0
Anders Frandsen

Jeg kan umiddelbart godt se hvorfor reglerne gør sig gældende her, men har man tænkt over omfanget af det?

Hvis jeg skriver mit telefonnummer på en tavle i et undervisningslokale for eksempel, er det så også ulovligt? Hvad hvis vores udviklingsteam har en tavle med billeder med navne, emails, og telefonnummre? Er det ulovligt?

  • 2
  • 0
Christian Nobel

Børneinstitutioner må nu ikke have billeder af børnene hængende på opslagstavlen, selv om der ikke står yderligere oplysninger på tavlen.

Til gengæld skal alverdens megen personlig information (absolut uden ret til at blive glemt) hældes ind i det dybt ulovlige Hjernen&Hjertet, til opbevaring (og profilering) for tid og evighed - forvaltet af Rambukken.

Hvis ikke det var fordi det er dybt tragisk, så ville det nærmest være morsomt.

  • 3
  • 0
Michael Cederberg

Med en dogmatisk fortolkning af GDPR kan man ødelægge ideen med GDPR. Hvis man læser direktivet så er det ganske klart at motivet ikke har været at regulare post-its og udskrifter der ligger på skrivebordet.

Vi har brug for at EU og staten melder en fornuftig fortolkning ud. Opbevaring af personlige data bliver kun et problem hvis mængden bliver stor og/eller hvis de gemmes på elektronisk form. En børnehave der har et arkivskab med journaler på de børn der går i børnehaven er ikke noget problem. Det er heller ikke noget problem hvis der ligger en stak journaler på et bord i løbet af dagen.

  • 2
  • 0
Niels Flensted-Jensen

I begyndelsen af forordningen (artikel 2, Materielt anvendelsesområde) står der: "Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register."

Jeg synes ikke nødvendigvis det fremgår at omtalte tavle med post-it notes falder ind under denne? At det så er en uskik at skrive om vorter og andre personlige data er vi ikke uenige om og måske er det forbudt ifølge anden lovgivning, men vist ikke GDPR?

  • 4
  • 0
Nikolaj Bech

Det er trist hvis vi bliver tvunget til at skulle have overblik over alt via en skærm. Jeg tror vi kommer til at overse en masse.

På en tavle kan ting gøres visuelle på mange forskellige måder, nemt ændres efter behov og kreative evner og uden at det er indenfor rammerne af designernes fantasi.

Der er sikkert en hel del fornuft i ikke at have følsomme oplysninger hængende til fri beskuelse, men mon ikke disse tavler traditionelt har været og nok stadig er et vigtigt arbejdsredskab et sted med personale der skifter i løbet af dagen. Hvordan sikres at den værdi tavlerne giver kommer med over i IT systemerne?

Jeg frygter lidt at det så er IT systemet der styrer og medarbejderne så blot render rundt efter anvisninger. Det virker sikkert også fint det meste af tiden, men der mistes noget, dels for medarbejderne i hvor tilfredse de er med deres arbejde og nok også i der overblik de har. Lidt ligesom når man kører efter GPS. Man har godt nok siddet og kigget ud af vinduet og fulgt vejen (det er man jo nødt til), men ret beset så aner man ikke hvor man er, bortset fra den erfaring man havde med geografi inden man fik GPS.

  • 4
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize