Saksbehandling og overholdelse av GDPR for advokater
Advokater må håndtere klientdata på en sikker måte. Data må være tilgjengelig på rett sted, til rett tid, men vi må selvfølgelig også overholde GDPR. Denne artikkelen handler om hvilke aspekter av GDPR-samsvar man må ta hensyn til når man bruker både et saksbehandlingssystem og Outlook i det juridiske arbeidet.
Den tøffeste utfordringen: e-post
La oss begynne med den delen der GDPR normalt skaper mest trøbbel for advokater: e-post. De fleste jurister skriver e-post i Outlook, og når vi begynner å skrive “han” i mottakerfeltet, foreslår Outlook umiddelbart “Henrik”. Spørsmålet er om den Henrik Outlook har i tankene, er den rette.
En av de største risikoene når det gjelder overholdelse av GDPR, er å ha slått på automatisk utfylling av e-postmottakere. De fleste jurister tror nok at det bare er andre som gjør feil, men hvem som helst kan gå i fellen når det er mye å gjøre, og vi har sett svært mange e-poster som er sendt til feil mottakere av denne grunn.
Individuelle vurderinger
Saksbehandlingssystemet inneholder en stor mengde data som er regulert av GDPR. Systemet kan selvsagt bidra til at GDPR overholdes, men det er fortsatt mange beslutninger som må vurderes av advokatene.
Når er en sak foreldet? Og hvem skal i så fall vurdere om en foreldet sak skal slettes eller bare anonymiseres?
Det samme gjelder for klienter og parter. Bør en utdatert klient eller part anonymiseres eller slettes helt? Det kommer an på situasjonen.
Hvor lagres personsensitive data?
Det finnes selvsagt personsensitive opplysninger om saker, klienter og parter, og de kan finnes på mange forskjellige steder. Det kan være personsensitive opplysninger som personnummer på sakskortet, eller saken kan være registrert som om den gjelder en bestemt sykdom eller noe annet av personsensitiv karakter.
Men hvor ellers lagres personsensitive data?
Hva med tidligere ansatte? Dette er et område som krever særlig anonymisering, fordi det kan finnes svært gamle tidsregistreringer som vil bli etterspurt som dokumentasjon på et senere tidspunkt.
I selve tidsregistreringene og de oppførte postene kan det stå noe sånt som “innhenting av legeerklæring om psykisk diagnose”. Det er også personsensitivt.
I tillegg kommer alle dataene som er lagret utenfor sak- og ERP-systemet, for eksempel alle dokumentene som er lagret i en dokumentløsning (f.eks. SharePoint) eller på en fildeling. Dokumentene vil naturlig nok inneholde mange personopplysninger.
Det er heller ikke sikkert at det bare dreier seg om søkbare dokumenter. Det kan for eksempel være lydfiler eller videoopptak av saksforberedelser. Disse er vanskeligere å søke på navn eller personopplysninger. Og hva med e-postvedlegg: Hvordan kan de fanges opp?
Sletting har konsekvenser
Når man begynner å anonymisere og slette data i praksis, dukker det opp en rekke utfordringer.
Vi har selv bygget inn GDPR-funksjoner i saksbehandlingssystemet vårt, Navokat. Målet er selvsagt å gi advokater mest mulig støtte i arbeidet med anonymisering og sletting av data, men alle avgjørelser krever individuelle vurderinger, så det er dessverre langt fra hele prosessen som kan skje automatisert.
Vi har bygget inn logikk i systemet som gjør at det kan foreslå saker som bør slettes. Dette gjøres i henhold til visse kriterier som du selv setter opp. Advokaten kan deretter se gjennom forslagene og velge hva som skal slettes. Du kan for eksempel be løsningen om å foreslå saker som ble arkivert for mer enn X år siden.
Dessverre har vi allerede opplevd at en kunde har stolt for mye på systemets forslag, og endt opp med å slette saker som egentlig ikke skulle ha vært slettet. Og nå er dataene borte. De er helt borte, for hvis det fantes en “angre”-funksjon, ville vi ikke ha overholdt GDPR.
Når du velger å slette en sak, er det ikke bare sakskortet og journalen som forsvinner. Det kan også være klienter, parter og alle dokumenter som er knyttet til saken. Dette inkluderer tidsregistreringer, bokførte oppføringer – alt som ligger i magen på ERP-systemet.
Å slette en sak er en viktig beslutning. Det er påkrevd i henhold til GDPR, men du må være sikker på at du forstår konsekvensene når du tar avgjørelsen.
Noen saker må anonymiseres – ikke slettes
I utgangspunktet er den viktigste parameteren tid. Når sakene er så gamle at det ikke lenger har noen hensikt å beholde dem, skal de slettes. Noen advokater tolker dette som 10 år, andre sier 5 år. Det er ulike oppfatninger, men tid er alltid det viktigste kriteriet.
Men ikke alt bør slettes. Hvis du har en god grunn til å beholde opplysningene, kan du gjøre det. En god grunn kan for eksempel være at saken er prinsipiell eller vekker oppmerksomhet i pressen eller hos myndighetene.
Saker som gjelder prinsipielle spørsmål, skal selvsagt ikke slettes – men de må kanskje anonymiseres på et eller annet tidspunkt.
Igjen vil det være en vurderingssak om det er av grunnleggende betydning at et bestemt navn forekommer i saken, eller om navnet kan anonymiseres. Dette er nok en vurdering som IT-løsningen din dessverre ikke kan hjelpe deg med, og dessverre blir utfordringen med anonymisering enda verre.
Hvis vi skal anonymisere Peter Petersen, et vitne i en sak, kan vi jo søke etter navnet hans. Noen steder står det bare P. Petersen eller herr Petersen. Og på side 37 i et dokument står det “sykkelforretningens eier”, som alle selvfølgelig vet betyr Peter Petersen, fordi det er en liten by med bare én sykkelforretning. Også denne omtalen må anonymiseres.
Det er vanskelig å få et IT-system til å gjenkjenne at “sykkelhandleren” refererer til Peter Petersen, så også her er det vanskelig å få hjelp fra teknologien. Teknologien må ikke bare gjenkjenne “sykkelhandleren” som en henvisning til en person, den må også vurdere om det er relevant for akkurat denne omtalen å vite at det dreier seg om sykkelhandleren. Dette krever enten seriøs kunstig intelligens eller mange timer med manuell research.
Hvor modent er IT-systemet ditt?
IT-systemene dine kan hjelpe deg med sletting og anonymisering på fire ulike nivåer:
- Nivå 1 er når systemet foreslår saker som du skal vurdere.
- Nivå 2 er når systemet kan utføre sletting av de sakene, inkludert posteringer og dokumenter, som du velger å slette.
- Nivå 3 er når systemet kan utføre anonymisering av saker i henhold til søkekriterier som du har valgt. Det er en slags søk-og-erstatt i saksbehandlingssystemet.
- Det høyeste nivået er der systemet kan bruke kunstig intelligens til å finne alle personsensitive begreper, som i eksempelet med “sykkelbutikkinnehaver”.
De aller fleste systemene befinner seg på nivå 1 og 2. Vi kan ikke nevne noen i det hele tatt som er på nivå 4, eller som har utsikter til å nå det. Men selv om systemene kunne dekke punkt 1-4, ville mye av ansvaret for å overholde GDPR fortsatt ligge på juristene, som må vurdere hva som skal gjøres i hvert enkelt tilfelle.
Forespørsel om tilgang
Nok om sletting og anonymisering. Et annet tema som kan skape en stor arbeidsmengde for advokater, er innsynsbegjæringer.
Hvem som helst kan henvende seg til oss og be om å få vite hva vi vet om dem. Og så tar vi en medarbeider fra gulvet slik at vedkommende kan sitte og bla gjennom dokumenter for å finne de stedene der den aktuelle personen er nevnt. Det kan være helt uoverkommelig for en vanlig advokatpraksis hvis det kommer mange slike innsynsbegjæringer. Også her trenger vi hjelp fra systemet.
Utfordringen er i prinsippet den samme som ved anonymisering. Vi må kunne finne data i alle kriker og kroker av saker og dokumenter. IT-utfordringen er den samme, og den er teknologisk vanskelig å løse.
Hvem kan egentlig gjøre hva?
Det finnes mange deloppgaver på dette området, og spørsmålet er: Hvem kan egentlig gjøre hva i organisasjonen? Når du har en sletteknapp tilgjengelig, er det ikke bra hvis hvem som helst ved et uhell kan trykke på den og få dataene til å forsvinne ut i løse luften.
- Den første oppgaven er identifisering. Dette innebærer å lage en langliste over saker og data som eventuelt skal slettes. Dette er i stor grad en jobb for IT-systemene, og det er greit at de fleste i organisasjonen har tilgang til denne listen.
- Neste oppgave er vurdering av longlist. Her må jurister med kjennskap til de enkelte sakene vurdere hvilke av dem som skal slettes eller anonymiseres. Det kan være behov for interne prosesser som regulerer hvor lenge etter fristen en sletting kan utsettes uten at en partner involveres i beslutningen.
- Og så kommer vi til selve slettingen. Her er spørsmålet: Hvem skal ha myndighet til å trykke på sletteknappen? Hvem skal ha fullmakt til å slette en sak? Her mener vi at det bør vurderes nøye om for eksempel endelig sletting skal kreve godkjenning av en partner.
Hvem kan se hva?
Databeskyttelse innebærer også å sikre data mot at uvedkommende får tilgang til dem. Hvordan sikrer vi at ingen i bedriften tilfeldigvis ser noe de ikke burde se?
IT-sikkerheten må selvsagt være under kontroll, slik at hackere ikke kan stjele data og enten selge dem eller fjerne dem fra systemet og kreve betaling for å få dem tilbake, slik det har skjedd. Dessverre ser vi at det er svært mange mislykkede påloggingsforsøk på eksterne skrivebord med Navokat-løsningen, der programvaren prøver seg frem for å få tilgang. Dette er en trussel som alle bør ta på alvor.
Men også internt må vi rett og slett sørge for at bare de rette medarbeiderne har tilgang til dataene. Skal alle brukere på kontoret ha tilgang til alle data i alle saker, eller kan man lage begrensninger som oppfyller GDPR-kravene uten at det går ut over den daglige virksomheten?
På samme måte kan man vurdere om den eksterne IT-leverandøren skal ha ubegrenset tilgang til data til enhver tid. De skal selvsagt kunne yte support og løse IT-problemer, og i den forbindelse kan det for eksempel være fornuftig å gi dem tidsbegrenset tilgang til data, men IT-leverandøren trenger ikke nødvendigvis å ha fri tilgang hele tiden.
Hvem har tilgang til hva?
Det er selvsagt også viktig å kunne dokumentere hvordan den enkelte har brukt sine tilgangsrettigheter. Hvem har sett hvilke data, og når?
Det er viktig å ha denne tilgangsloggen for å kunne dokumentere at personvernreglene overholdes, og for å kunne besvare tilgangsforespørsler på en tilfredsstillende måte.
Hvor langt har du kommet i GDPR-prosessen?
Det er mye å ta tak i hvis en advokatpraksis skal overholde alle aspekter av GDPR. Et annet omstridt spørsmål er hvor mye det er rimelig å forvente at du skal etterleve hvis du er en liten advokatpraksis med få ressurser, og hvis teknologien ikke kan hjelpe deg på alle områder ennå.
Men det første steget er å gjøre opp status, slik at du vet hvor langt du har kommet, og deretter planlegge hvor store ambisjoner du ønsker å ha på GDPR-området.
Hvis du trenger noen som kan fungere som sparringspartner i GDPR-spørsmål knyttet til saksbehandlingssystemer, tar vi gjerne en samtale med deg uten at det koster deg en krone. Vi er alltid klare for en debatt om et av de temaene som opptar advokater mest for tiden.