Advokater må håndtere klientdata på en sikker måte. Data må være tilgjengelig på rett sted, til rett tid, men vi må selvfølgelig også overholde GDPR. Denne artikkelen handler om hvilke aspekter av GDPR-samsvar man må ta hensyn til når man bruker både et saksbehandlingssystem og Outlook i det juridiske arbeidet.

Den tøffeste utfordringen: e-post

La oss begynne med den delen der GDPR normalt skaper mest trøbbel for advokater: e-post. De fleste jurister skriver e-post i Outlook, og når vi begynner å skrive “han” i mottakerfeltet, foreslår Outlook umiddelbart “Henrik”. Spørsmålet er om den Henrik Outlook har i tankene, er den rette.

En av de største risikoene når det gjelder overholdelse av GDPR, er å ha slått på automatisk utfylling av e-postmottakere. De fleste jurister tror nok at det bare er andre som gjør feil, men hvem som helst kan gå i fellen når det er mye å gjøre, og vi har sett svært mange e-poster som er sendt til feil mottakere av denne grunn.

Individuelle vurderinger

Saksbehandlingssystemet inneholder en stor mengde data som er regulert av GDPR. Systemet kan selvsagt bidra til at GDPR overholdes, men det er fortsatt mange beslutninger som må vurderes av advokatene.

Når er en sak foreldet? Og hvem skal i så fall vurdere om en foreldet sak skal slettes eller bare anonymiseres?

Det samme gjelder for klienter og parter. Bør en utdatert klient eller part anonymiseres eller slettes helt? Det kommer an på situasjonen.

Hvor lagres personsensitive data?

Det finnes selvsagt personsensitive opplysninger om saker, klienter og parter, og de kan finnes på mange forskjellige steder. Det kan være personsensitive opplysninger som personnummer på sakskortet, eller saken kan være registrert som om den gjelder en bestemt sykdom eller noe annet av personsensitiv karakter.

Men hvor ellers lagres personsensitive data?

Hva med tidligere ansatte? Dette er et område som krever særlig anonymisering, fordi det kan finnes svært gamle tidsregistreringer som vil bli etterspurt som dokumentasjon på et senere tidspunkt.

I selve tidsregistreringene og de oppførte postene kan det stå noe sånt som “innhenting av legeerklæring om psykisk diagnose”. Det er også personsensitivt.

I tillegg kommer alle dataene som er lagret utenfor sak- og ERP-systemet, for eksempel alle dokumentene som er lagret i en dokumentløsning (f.eks. SharePoint) eller på en fildeling. Dokumentene vil naturlig nok inneholde mange personopplysninger.

Det er heller ikke sikkert at det bare dreier seg om søkbare dokumenter. Det kan for eksempel være lydfiler eller videoopptak av saksforberedelser. Disse er vanskeligere å søke på navn eller personopplysninger. Og hva med e-postvedlegg: Hvordan kan de fanges opp?

Sletting har konsekvenser

Når man begynner å anonymisere og slette data i praksis, dukker det opp en rekke utfordringer.

Vi har selv bygget inn GDPR-funksjoner i saksbehandlingssystemet vårt, Navokat. Målet er selvsagt å gi advokater mest mulig støtte i arbeidet med anonymisering og sletting av data, men alle avgjørelser krever individuelle vurderinger, så det er dessverre langt fra hele prosessen som kan skje automatisert.

Vi har bygget inn logikk i systemet som gjør at det kan foreslå saker som bør slettes. Dette gjøres i henhold til visse kriterier som du selv setter opp. Advokaten kan deretter se gjennom forslagene og velge hva som skal slettes. Du kan for eksempel be løsningen om å foreslå saker som ble arkivert for mer enn X år siden.

Dessverre har vi allerede opplevd at en kunde har stolt for mye på systemets forslag, og endt opp med å slette saker som egentlig ikke skulle ha vært slettet. Og nå er dataene borte. De er helt borte, for hvis det fantes en “angre”-funksjon, ville vi ikke ha overholdt GDPR.

Når du velger å slette en sak, er det ikke bare sakskortet og journalen som forsvinner. Det kan også være klienter, parter og alle dokumenter som er knyttet til saken. Dette inkluderer tidsregistreringer, bokførte oppføringer – alt som ligger i magen på ERP-systemet.

Å slette en sak er en viktig beslutning. Det er påkrevd i henhold til GDPR, men du må være sikker på at du forstår konsekvensene når du tar avgjørelsen.

Vi har selv bygget GDPR-funksjoner i vårt saksbehandlingssystem, Navokat. Formålet er naturligvis å støtte advokatene mest mulig i å anonymisere og slette, men alle beslutninger krever individuelle vurderinger, så det er dessverre langt fra hele prosessen, der kan foregå per automatikk.

Vi har indbygget en logik i systemet, så der kan dannes forslag til sager, der bør slettes. Det skjer med utgangspunkt i noen kriterier man selv opsætter. Så kan advokaten kigge forslagene igennem og vælge at slette. Du kan fx bede løsningen om at foreslå sager, som er ældre end x år efter arkiveringsdato.

Vi har dessverre allerede opplevd, at en kunde stolede for meget på systemets forslag og kom til at slette sager, der faktisk ikke skulle slettes. Og så er data væk. De er helt væk, for hvis der var en “fortryd”-funktion, så ville vi jo ikke opfylde GDPR.

Når du velger, at en sag skal slettes, så er det ikke bare sagskortet og journalen. Det er kanskje også klienter, parter og alle de dokumenter, der hører til sagen. Det er tidsregistreringer, bogføringer – alt det inde i maven på ERP-systemet.

Det er en omfattende beslutning å slette en sak. Den er krævet i henhold til GDPR, men man skal være sikker på, at man forstår konsekvenserne, når man treffer sin beslutning.

Noen saker skal anonymiseres – ikke slettes

Det viktigste parameteret er grunnleggende tid. Når saker er så gamle, at vi ikke lenger har et formål med å gemme dem, så skal de slettes. Noen advokater fortolker det som 10 år, andre sier 5 år. Der er faktisk forskellige holdninger, men tid er altid det vigtigste kriterium.

Men det er jo ikke alt, der skal slettes. Hvis man har en god grunn til å beholde data, så må man gjerne det. En god grunn kan fx være, at sagen har prinsipielt karakter, eller har pressens eller myndigheders opmærksomhed.

Principielle sager skal naturligvis ikke slettes – men på et tidspunkt skal de kanskje anonymiseres.

Det blir igjen en vurderingssak, om det har prinsipiell betydning, at et spesifikt navn fremgår av saken, eller om navnet kan anonymiseres. Det er igjen en vurdering, som din IT-løsning dessverre ikke kan hjelpe med.

Udfordringen med anonymisering bliver desværre værre endnu.

Hvis vi skal anonymisere Peter Petersen, som er vidne i en sag, så kan vi godt søke etter hans navn. Nogle steder står der kun P. Petersen eller Hr. Petersen. Og på side 37 i et dokument står der “ejeren af cykelbutikken”, hvilket alle naturligvis ved er Peter Petersen, fordi det er en lille by, og der er kun én cykelbutik. Den omtale skal også anonymiseres.

Det er svært at få et IT-system til å genkende, at “ejeren af cykelbutikken” henviser til Peter Petersen, så det er igen en opgave, hvor det er svært at få hjælp fra teknologien. Teknologien skal ikke alene genkende “ejeren af cykelbutikken” som en henvisning til en person – den skal også vurdere om det er formålsvigtigt for den konkrete omtale at vide, at det handler om cykelhandleren. Det krever enten noe seriøst kunstig intelligens – eller mange timers manuelt lesearbejde.

Hvor modent er dette IT-systemet?

Det er 4 trinn for hvordan dine IT-systemer kan hjelpe deg med å slette og anonymisere:

  1. Det første trinnet er, at systemet kommer med forslag til saker, som du skal evaluere.
  2. Det andre trinnet er, at systemet kan gennemføre sletningen af de sager, inkl. plakat og dokumenter, som du vælger at slette.
  3. Det tredje trinnet er, at systemet kan utføre anonymisering av saker ut fra søkekriterier, som du velger. Det er en slags søg-og-erstat i sagsstyrings-systemet.
  4. Det endegyldige trinnet er, at systemet via kunstig intelligens kan finne alle de uttrykk, som er personfølsomme, som i eksemplet med “ejeren af cykelbutikken”.

Langt de fleste systemer er på trinn 1 og 2. Vi kan slet ikke nævne nogen, der er på trin 4 eller har udsigt til det. Men selv om systemerne kunne dekke pkt. 1-4, ville der stadig ligge en del av ansvaret for GDPR-compliance hos advokaterne, der skal vurdere, hvad der skal gøres i de konkrete sager.

Indsigtsbegæring

Nå har vi talt nok om å slette og anonymisere. Et annet emne, som kan gi advokatkontorene en stor arbeidsbyrde, er indsigtsbegæringer.

Alle kan henvende seg og be om å få at vide, hva vi ved om dem. Og så tar vi en medarbejder ud af produktionen, som sidder og bladrer igennem dokumenter for at finde de steder, hvor pågældende person er omtalt. Det virker helt uoverskueligt for et almindeligt advokatkontor, hvis der kommer mange af den slags indsigtsbegæringer. Det har vi også bruk for systemmessig hjelp til.

Udfordringen er prinsipielt den samme som med anonymisering. Vi skal kunne finne data i alle avkroker av saker og dokumenter. Den IT-mæssige udfordring er den samme, og teknologisk er den svær at løse.

Hvem må egentlig gjøre hva?

Der er mange del-opgaver inden for dette område, og spørgsmålet er, hvem der egentlig må gøre hvad i din organisation? Når du får en slette-knap til rådighed, så nytter det ikke, at alle kan komme til at trykke på den, og så er data bare pist borte.

  1. Den første oppgaven er identifikasjon. Det handler om å produsere en bruttoliste over de saker og data, som kanskje skal slettes. Det er en oppgave, som IT-systemerne i høy grad skal utføre, og det er greit, at de fleste i organisasjonen har adgang til bruttolisten.
  2. Den neste oppgaven er vurdering av bruttolisten. Her må advokaterne med indsigt i den enkelte sag vurdere, hvilke saker der skal slettes og anonymiseres. Der skal kanskje være interne prosesser for, hvor lang tid over deadline, man må trekke en sletning, uten å involvere en partner i beslutningen.
  3. Og så kommer vi til selve sletningen. Her er spørsmålet: Hvem har lov til å trykke på slet-knappen? Hvem skal ha mandat til å slette en sag? Her mener vi, det bør overvejes nøje, om det fx skal være en partner, der kan godkende den endegyldige sletning.

Hvem må se hva?

Databeskyttelsen handler også om å sikre data mot å bli delt med uvedkommende. Hvordan sikrer vi, at der ikke er nogen i virksomheden, der kommer til at se noget, de ikke må se?

Der skal naturligvis være styr på IT-sikkerheden, så hackere ikke kan snuppe data og sælge eller fjerne det fra systemet og kræve betaling for at lægge det ind igen, som man har sat eksempler på. Vi kan dessverre se, at der er rigtig mange forgæves loginforsøg på fjernskrivebord med Navokat-løsningen, hvor programmer står og prøver sig frem for at skaffe sig adgang. Det er en trussel, alle skal ta alvorlig.

Men på de interne fronter skal vi også helt enkelt sørge for, at kun de rette medarbeiderne har adgang til data. Skal alle brukere på kontoret ha adgang til all data i alle saker, eller kan der laves begrænsninger, der imødekommer krav til GDPR, uden at det spænder ben for den daglige drift?

På samme måte kan man overveie, om den eksterne IT-leverandør til enhver tid skal ha ubegrenset adgang til data. De skal naturligvis kunne yde support og afhjælpe IT-problemer, og i den forbindelse kan det give mening fx at give tidsbegrænset adgang til data, men IT-leverandøren skal ikke nødvendigvis have fri adgang hele tiden.

Hvem har hatt adgang til hva?

Det er naturligvis også viktig å kunne dokumentere, hvordan den enkelte person har anvendt sine rettigheter. Hvem har sett på hvilke data når?

Det er viktig å ha denne adgangsloggen for å kunne dokumentere, at databeskyttelsen er overholdt, og for å kunne svare fyldestgørende på en indsigtsbegæring.

Hvor langt er du kommet i GDPR-prosessen?

Det er en stor mundfuld, hvis man som advokatkontor skal leve op til hvert et hjørne af GDPR. Det er også et omdiskutert spørsmål, hvor mye man med rimelighed kan forventes at leve op til, hvis man er et mindre kontor med få ressourcer, og teknologien faktisk ikke kan hjælpe på alle områder endnu.

Men det første skrittet er å gjøre status, så du ved hvor langt du er, og så legge en plan for, hvor store ambisjoner du ønsker å ha innen for GDPR.

Hvis du har behov for å sparre med noen om GDPR innen for saksbehandlingssystemer, så står vi meget gjerne til disposisjon for en samtale, uten at det skal koste deg en krone. Vi er alltid friske på en debatt om et av de emner, der fylder rigtig meget for advokater for tiden.