Advocaten moeten veilig met klantgegevens omgaan. Gegevens moeten op het juiste moment op de juiste plaats beschikbaar zijn, maar we moeten natuurlijk ook voldoen aan de GDPR. Dit artikel gaat over de aspecten van GDPR-compliance waarmee rekening moet worden gehouden bij het gebruik van zowel een case management systeem als Outlook bij juridisch werk.
De moeilijkste uitdaging: e-mail
Laten we beginnen met het gedeelte waar de GDPR normaal gesproken de meeste problemen oplevert voor advocaten: e-mail. De meeste advocaten schrijven e-mails in Outlook, en wanneer we ‘hij’ in het ontvangersveld typen, suggereert Outlook onmiddellijk ‘Henrik’. De vraag is of de Henrik die Outlook in gedachten heeft wel de juiste is.
Het automatisch aanvullen van e-mailontvangers aan hebben staan is een van de grootste risico’s als het gaat om GDPR-compliance. Ongetwijfeld denken de meeste advocaten dat het alleen andere mensen zijn die fouten maken, maar iedereen kan in de val trappen als het druk is, en wij hebben al heel wat e-mails gezien die om deze reden naar de verkeerde ontvangers zijn gestuurd.
Individuele beoordelingen
Het casemanagementsysteem bevat veel gegevens die onder de GDPR vallen. Het systeem kan natuurlijk helpen bij de naleving van de GDPR, maar er zijn nog steeds veel beslissingen die door de advocaten moeten worden beoordeeld.
Wanneer is een zaak verouderd? En wie moet dan beoordelen of een verouderde zaak moet worden gewist of alleen geanonimiseerd?
Hetzelfde geldt voor klanten en partijen. Moet een verouderde klant of partij geanonimiseerd of helemaal verwijderd worden? Dat hangt af van de situatie.
Waar worden persoonlijke gevoelige gegevens opgeslagen?
Persoonsgevoelige gegevens bestaan natuurlijk over zaken, cliënten en partijen, en ze kunnen zich op veel verschillende plaatsen bevinden. Er kunnen persoonlijke gevoelige gegevens zoals een burgerservicenummer op de zaakkaart staan, of de zaak kan geregistreerd zijn als een zaak over een bepaalde ziekte of iets anders van persoonlijke gevoelige aard.
Maar waar worden persoonlijke gevoelige gegevens nog meer opgeslagen?
Hoe zit het met voormalige werknemers? Dit is een gebied dat in het bijzonder om anonimisering vraagt, omdat er zeer oude tijdregistraties kunnen zijn die op een later tijdstip als documentatie nodig zullen zijn.
De tijdregistraties zelf, en de geplaatste vermeldingen, kunnen iets zeggen als “ophalen van doktersbriefje met diagnose van geestesziekte”. Dat is ook persoonlijk gevoelig.
Dan zijn er nog alle gegevens die buiten het case- en ERP-systeem zijn opgeslagen, zoals alle documenten die in een documentoplossing (bijv. SharePoint) of op een file share zijn opgeslagen. De documenten bevatten natuurlijk veel persoonlijke gegevens.
Het is ook niet zeker dat het alleen om doorzoekbare documenten gaat. Er kunnen bijvoorbeeld audiobestanden of video-opnamen van hoorzittingen zijn. Deze zijn moeilijker te doorzoeken op naam of persoonlijke gegevens. En hoe zit het met e-mailbijlagen: hoe kunnen die worden opgepakt?
Verwijdering heeft gevolgen
Wanneer u gegevens in de praktijk gaat anonimiseren en verwijderen, komen er een aantal uitdagingen naar voren.
Wij hebben zelf GDPR-functies ingebouwd in ons casemanagementsysteem Navokat. Het doel is natuurlijk om advocaten zoveel mogelijk ondersteuning te bieden bij het anonimiseren en wissen van gegevens, maar alle beslissingen vereisen individuele beoordelingen, zodat het helaas nog lang niet het hele proces is dat op een geautomatiseerde manier kan plaatsvinden.
We hebben logica in het systeem ingebouwd waardoor het zaken voorstelt die verwijderd moeten worden. Het doet dit aan de hand van bepaalde criteria die u zelf instelt. De jurist kan dan de suggesties bekijken en kiezen wat hij wil verwijderen. U kunt de oplossing bijvoorbeeld vragen om zaken voor te stellen die meer dan X jaar geleden gearchiveerd werden.
Helaas hebben we al een klant gekend die te veel vertrouwen had in de suggesties van het systeem en uiteindelijk gevallen wist die eigenlijk niet gewist hadden mogen worden. En nu zijn de gegevens weg. Helemaal weg, want als er een “ongedaan maken”-functie zou zijn, zouden we niet voldoen aan de GDPR.
Wanneer u ervoor kiest om een zaak te verwijderen, gaan niet alleen de zaakkaart en het journaal weg. Het kunnen ook cliënten, partijen en alle documenten zijn die bij de zaak horen. Dit omvat tijdregistraties, geboekte boekingen – alles in de buik van het ERP-systeem.
Het verwijderen van een dossier is een belangrijke beslissing. Het is verplicht onder de GDPR, maar u moet er zeker van zijn dat u de gevolgen begrijpt wanneer u uw beslissing neemt.
Vi har selv bygget GDPR-features i vores sagsbehandlingssystem, Navokat. Formålet er naturligvis at støtte advokaterne mest muligt i at anonymisere og slette, men alle beslutninger kræver individuelle vurderinger, så det er desværre langt fra hele processen, der kan foregå per automatik.
Vi har indbygget en logik i systemet, så der kan dannes forslag til sager, der bør slettes. Det sker med udgangspunkt i nogle kriterier man selv opsætter. Så kan advokaten kigge forslagene igennem og vælge at slette. Du can fx bede løsningen om at foreslå sager, som er ældre end x år efter arkiveringsdato.
Vi har desværre allerede oplevet, at en kunde stolede for meget på systemets forslag og kom til at slette sager, der faktisk ikke skulle slettes. En dan zijn er nog de gegevens. De er helt væk, for hvis der var en “fortryd”-funktion, så ville vi jo ikke opfylde GDPR.
Als je ziet dat en sag skal slettes, dan is dat het enige kale sagskortet en journalen. Det er måske også klienter, parter og alle de dokumenter, der hører til sagen. Det er tidsregistreringer, bogføringer – alt det inde i maven på ERP-systemet.
Det er en omfattende beslutning at slette en sag. Den er krævet i henhold til GDPR, men man skal være sikker på, at man forstår konsekvenserne, når man træffer sin beslutning.
Nogle sager skal anonymiseres – ikke slettes
Det vigtigste parameter er grundlæggende tid. Als er meer mensen zijn, als ze langer zijn en een formulier hebben om hun werk te doen, dan kunnen ze het ook beter doen. Nog andere adviseurs gebruiken 10 jaar, andere 5 jaar. Er zijn faktisk forskellige holdninger, men tid er altid det vigtigste kriterium.
Maar det er jo ikke alt, der skal slettes. Als u een goede basis hebt om gegevens te bekijken, dan kunt u dat ook doen. En god grund can fx være, at sagen har principielt karakter, eller har pressens eller myndigheders opmærksomhed.
De belangrijkste sager is van nature een slettes – maar op een bepaald moment zijn de måske anonymiseres.
Det bliver igen en vurderingssag, om det har principiel betydning, at et specifikt navn fremgår af sagen, eller om navnet kan anonymiseres. Det er igen en vurdering, som din IT-løsning desværre ikke kan hjælpe med.
Udfordringen med anonymisering bliver desværre værre endnu.
Als we Peter Petersen anonimiseren, wat er in een brief staat, kunnen we godt søge achter zijn navn aan. Nogle steder står der kun P. Petersen eller Hr. Petersen. Og på side 37 i et dokument står der “ejeren af cykelbutikken”, hvilket alle naturligvis ved er Peter Petersen, fordi det er en lille by, og der er kun én cykelbutik. Den omtale skal også anonymiseres.
Det er svært at få et IT-system til at genkende, at “ejeren af cykelbutikken” henviser til Peter Petersen, så det er igen en opgave, hvor det er svært at få hjælp fra teknologien. Technologien skal ikke alene genkende “ejeren af cykelbutikken” som en henvisning til en person – den skal også vurdere om det er formålsvigtigt for den konkrete omtale at vide, at det handler om cykelhandleren. Det kræver enten noget seriøst kunstig intelligens – eller mange timers manuelt læsearbejde.
Hvor modent er dit IT-systeem?
Er zijn 4 tips om ervoor te zorgen dat uw IT-systeem u kan helpen bij het zoeken naar anonimiteit:
- De eerste truc is dat het systeem naar een hoger niveau gaat, wat u kunt evalueren.
- Det andet trin er, at systemet kan gennemføre sletningen af de sager, inkl. poster og dokumenter, som du vælger at slette.
- Det tredje trin er, at systemet kan udføre anonymisering af sager ud fra søgekriterier, som du vælger. Det er en slags søg-og-erstat i sagsstyrings-systemet.
- Det endegyldige trin er, at systemet via kunstig intelligens kan finde alle de udtryk, som er personfølsomme, som i eksemplet med “ejeren af cykelbutikken”.
Langt de fleste systemer er på trin 1 og 2. Vi kan slet ikke nævne nogen, der er på trin 4 eller har udsigt til det. Als u systeembeheerders de pkt. 1-4, ville der stadig ligge en del af ansvaret for GDPR-compliance hos advokaterne, der skal vurdere, hvad der skal gøres i de konkrete sager.
Indsigtsbegæring
Nu heeft vi nok om te slette og anonymisere. Et andet emne, som can give advokatkontorerne en stor arbejdsbyrde, er indsigtsbegæringer.
Ze kunnen allemaal hun stem uitbrengen en zich afvragen hoe ze de video kunnen vinden, wat ze over hen denken. Ook kunt u een medarbejder gebruiken bij het maken van producties, die u helpt bij het vinden van de steder, waar de persoon die u voor het eerst ziet omvalt. Det virker helt uoverskueligt for et almindeligt advokatkontor, hvis der kommer mange af den slags indsigtsbegæringer. Det har vi også brug for systemmæssig hjælp til.
Udfordringen zijn principieel hetzelfde als anonimisering. U kunt gegevens vinden in alle afkroge af sager og dokumenter. Den IT-mæssige udfordring er den samme, og teknologisk er den svær at løse.
Hvem må egentlig gøre hvad?
Der er mange del-opgaver inden for dette område, og spørgsmålet er, hvem der egentlig må gøre hvad i din organisation? Når du får en slette-knap til rådighed, så nytter det ikke, at all kan komme til at trykke på den, og så er data bare pist borte.
- De eerste opgave is identificatie. Det handler om at producere en bruttoliste over de sager og data, som måske skal slettes. Dit is een opgave die IT-systemen van hoge kwaliteit kunnen uitvoeren, en het is goed als de medewerkers van de organisatie toegang hebben tot bruttolisten.
- Den næste opgave er vurdering af bruttolisten. Hier kunnen adviseurs met indsigt i den enkelte sag vurdere, hvilke sager der skal slettes og anonymiseres. Der skal måske være interne processer for, hvor lang tid over deadline, man må trække en sletning, uden at involvere en partner i beslutningen.
- Og så kommer vi til selve sletningen. Hier is spørgsmålet: Hvem har lov til at trykke på slet-knappen? Hvem skal have mandat til at slette en sag? Her mener vi, det bør overvejes nøje, om det fx skal være en partner, der kan godkende den endegyldige sletning.
Hvem må se hvad?
Databeskyttelsen handelt også om at sikre data mod at blive delt med uvedkommende. Hvordan sikrer vi, at der ikke er nogen i virksomheden, der kommer til at se noget, de ikke må se?
Het kan natuurlijk zijn dat er een styr is op IT-sikkerheden, zodat hackers gegevens kunnen opvragen en de gegevens kunnen opvragen of verwijderen uit het systeem en de betaling kunnen doen om de gegevens op te halen. Vi can desværre se, at der er rigtig mange forgæves loginforsøg på fjernskrivebord med Navokat-løsningen, hvor programmer står og prøver sig frem for at skaffe sig adgang. Det er en trussel, alle skal tage alvorligt.
Men på de interne fronter skal vi også helt enkelt sørge for, at kun de rette medarbejdere har adgang til data. Hebben alle brugere på kontoret adgang til alle data i alle sager, eller kan der laves begrænsninger, der imødekommer krav til GDPR, uden at det spænder ben for den daglige drift?
In dezelfde situatie kan men erover nadenken of de eksterne IT-leverandør til enhver tid ubegrænset adgang til data heeft. De skal naturligvis kunne yde support og afhjælpe IT-problemer, og i den forbindelse kan det give mening fx at give tidsbegrænset adgang til data, men IT-leverandøren skal ikke nødvendigvis have fri adgang hele tiden.
Hvem har haft adgang til hvad?
Det er naturligvis også vigtigt at kunne dokumentere, hvordan den enkelte person har anvendt sine rettigheder. Hvem har kigget på hvilke data hvornår?
Det er vigtigt at have denne adgangslog for at kunne dokumentere, at databeskyttelsen er overholdt, og for at kunne svare fyldestgørende på en indsigtsbegæring.
Hvor langt er du kommet i GDPR-processen?
Det er en stor mundfuld, hvis man som advokatkontor skal leve op til hvert et hjørne af GDPR. Det er også et omdiskuteret spørgsmål, hvor meget man med rimelighed kan forventes at leve op til, hvis man er et mindre kontor med få ressourcer, og teknologien faktisk ikke kan hjælpe på alle områder endnu.
Men det første skridt er at gøre status, så du ved hvor langt du er, og så lægge en plan for, hvor store ambitioner du ønsker at have inden for GDPR.
Als u wilt sparren over GDPR inden for sagsbehandlingssystemer, dan bent u zeer geïnteresseerd in een oplossing voor een probleem, en dat kost u veel geld. Vi er altid friske på en debat om et af de emner, der fylder rigtig meget for advokater for tiden.