Ärendehantering och GDPR-efterlevnad för jurister

Den svåraste utmaningen: e-post

Låt oss börja med den del där GDPR normalt ställer till med mest problem för jurister: e-post. De flesta jurister skriver mejl i Outlook, och när vi börjar skriva “han” i mottagarfältet föreslår Outlook genast “Henrik”. Frågan är om den Henrik som Outlook tänker på är den rätta.

Att ha autokomplettering av e-postmottagare aktiverat är en av de största riskerna när det gäller efterlevnad av GDPR. De flesta jurister tror säkert att det bara är andra människor som gör fel, men vem som helst kan gå i fällan när det är mycket att göra och vi har sett många e-postmeddelanden som skickats till fel mottagare av den anledningen.

Individuella utvärderingar

Ärendehanteringssystemet innehåller en hel del uppgifter som regleras av dataskyddsförordningen. Systemet kan naturligtvis hjälpa till med efterlevnaden av GDPR, men det finns fortfarande många beslut som måste bedömas av juristerna.

När är ett ärende föråldrat? Och vem ska i så fall bedöma om ett inaktuellt ärende ska raderas eller bara anonymiseras?

Detsamma gäller för kunder och parter. Ska en föråldrad klient eller part anonymiseras eller raderas helt och hållet? Det beror på situationen.

Var lagras personkänsliga uppgifter?

Personkänsliga uppgifter finns naturligtvis om ärenden, klienter och parter och de kan finnas på många olika ställen. Det kan finnas personkänsliga uppgifter som ett personnummer på ärendekortet, eller så kan ärendet vara registrerat som att det rör en viss sjukdom eller något annat av personkänslig karaktär.

Men var annars lagras personkänsliga uppgifter?

Hur är det med tidigare anställda? Det här är ett område som kräver särskild anonymisering, eftersom det kan finnas mycket gamla tidsregistreringar som kommer att krävas som dokumentation vid ett senare tillfälle.

I själva tidsregistreringen och i de poster som läggs upp kan det stå något i stil med “insamling av läkarintyg om diagnos av psykisk sjukdom”. Det är också personligen känsligt.

Sedan har vi all data som lagras utanför ärende- och affärssystemet, till exempel alla dokument som lagras i en dokumentlösning (t.ex. SharePoint) eller på en fildelning. Dokumenten kommer naturligtvis att innehålla en hel del personuppgifter.

Det är inte heller säkert att det bara rör sig om sökbara dokument. Det kan t.ex. finnas ljudfiler eller videoinspelningar av förhandlingar i målet. Dessa är svårare att söka på namn eller personuppgifter. Och hur är det med e-postbilagor: hur kan de fångas upp?

Radering har konsekvenser

När man börjar anonymisera och radera data i praktiken dyker det upp ett antal utmaningar.

Vi har själva byggt in GDPR-funktioner i vårt ärendehanteringssystem Navokat. Syftet är naturligtvis att ge advokater så mycket stöd som möjligt vid anonymisering och radering av uppgifter, men alla beslut kräver individuella bedömningar, så det är tyvärr långt ifrån hela processen som kan ske på ett automatiserat sätt.

Vi har byggt in en logik i systemet som gör att det kan föreslå ärenden som bör raderas. Det gör det enligt vissa kriterier som du själv sätter upp. Advokaten kan sedan titta igenom förslagen och välja vad som ska raderas. Du kan t.ex. be lösningen att föreslå ärenden som arkiverades för mer än X år sedan.

Tyvärr har vi redan varit med om att en kund har litat för mycket på systemets förslag och raderat ärenden som egentligen inte borde ha raderats. Och nu är datan borta. De är helt borta, för om det fanns en funktion för att ångra raderingen skulle vi inte följa GDPR.

När du väljer att radera ett ärende är det inte bara ärendekortet och journalen som försvinner. Det kan också vara klienter, parter och alla dokument som är kopplade till ärendet. Detta inkluderar tidsregistreringar, bokförda poster – allt som finns i affärssystemets mage.

Att radera ett ärende är ett viktigt beslut. Det är ett krav enligt GDPR, men du måste vara säker på att du förstår konsekvenserna när du fattar ditt beslut.

Vissa ärenden måste anonymiseras – inte raderas

I grund och botten är den viktigaste parametern tid. När målen är så gamla att det inte längre finns något syfte med att behålla dem ska de raderas. Vissa jurister tolkar detta som 10 år, andra säger 5 år. Åsikterna går faktiskt isär, men tiden är alltid det viktigaste kriteriet.

Allt ska dock inte raderas. Om du har en god anledning att behålla uppgifterna kan du göra det. Ett gott skäl kan t.ex. vara att ärendet rör principiella frågor eller väcker uppmärksamhet i pressen eller hos myndigheter.

Ärenden som rör principiella frågor ska naturligtvis inte raderas – men de kan behöva anonymiseras vid något tillfälle.

Återigen blir det en bedömningsfråga om det är av grundläggande betydelse att ett visst namn förekommer i målet eller om namnet kan anonymiseras. Detta är ytterligare en bedömning som din IT-lösning tyvärr inte kan hjälpa till med. Tyvärr blir utmaningen med anonymisering ännu värre.

Om vi ska anonymisera Peter Petersen, ett vittne i ett mål, så kan vi ju söka på hans namn. På vissa ställen står det bara P. Petersen eller Mr Petersen. Och på sidan 37 i ett dokument står det “cykelhandlarens ägare”, vilket naturligtvis alla vet betyder Peter Petersen, eftersom det är en liten stad med bara en cykelhandlare. Även detta omnämnande måste anonymiseras.

Det är svårt att få ett IT-system att känna igen att “cykelhandlaren” syftar på Peter Petersen, så det här är ytterligare ett jobb där det är svårt att få hjälp av tekniken. Tekniken måste inte bara känna igen “cykelhandlaren” som en hänvisning till en person; den måste också bedöma om det är relevant i fallet med just detta omnämnande att veta att det handlar om cykelhandlaren. Detta kräver antingen en seriös artificiell intelligens eller många timmars manuell forskning.

Hur moget är ert IT-system?

De sätt på vilka dina IT-system kan hjälpa dig med radering och anonymisering kan delas in i fyra nivåer:

1. Nivå 1 är när systemet föreslår ärenden som du ska bedöma.
2. Nivå 2 är när systemet kan utföra radering av de ärenden, inklusive bokförda poster och dokument, som du väljer att radera.
3. Nivå 3 är när systemet kan utföra anonymisering av ärenden enligt de sökkriterier som du har valt. Det är ett slags sök-och-ersätt i ärendehanteringssystemet.
4. Den ultimata nivån är där systemet kan använda artificiell intelligens för att hitta alla personligt känsliga termer, som i exemplet med “cykelhandlare”.

De allra flesta system befinner sig på nivå 1 och 2. Vi kan inte nämna några alls som befinner sig på nivå 4 eller som har några utsikter att nå dit. Även om systemen skulle kunna täcka punkterna 1-4 skulle dock en stor del av ansvaret för GDPR-efterlevnaden fortfarande ligga på juristerna som måste bedöma vad som ska göras i enskilda fall.

Begäran om åtkomst

Nu räcker det med radering och anonymisering. Ett annat ämne som kan skapa en stor arbetsbörda för jurister är begäran om tillgång.

Vem som helst kan vända sig till oss och be att få veta vad vi vet om dem. Och sedan tar vi en anställd från verkstadsgolvet så att de kan sitta och bläddra igenom dokument för att hitta de ställen där den relevanta personen nämns. Det kan vara helt skrämmande för en vanlig advokatbyrå om man får många sådana förfrågningar om tillgång. Det här är ytterligare en sak som vi behöver hjälp med från systemet.

I princip är utmaningen densamma som vid anonymisering. Vi måste kunna hitta data i varje skrymsle och vrå av ärenden och dokument. IT-utmaningen är densamma, och den är tekniskt svår att lösa.

Vem kan egentligen göra vad?

Det finns många deluppgifter inom detta område, och frågan är: vem kan egentligen göra vad i din organisation? När du har en raderingsknapp tillgänglig är det inte bra om någon av misstag kan trycka på den och få data att försvinna i tomma intet.

1. Den första uppgiften är identifiering. Det handlar om att ta fram en lista med ärenden och uppgifter som kan behöva raderas. Detta är i hög grad ett jobb för IT-systemen, och det är OK att de flesta i organisationen har tillgång till listan.
2. Nästa uppgift är att bedöma den långa listan. Här måste jurister med kännedom om de enskilda ärendena bedöma vilka av dem som ska raderas eller anonymiseras. Det kan behövas interna processer som reglerar hur långt efter deadline en radering kan skjutas upp utan att en partner involveras i beslutet.
3. Och så kommer vi till själva raderingen. Här är frågan: vem ska ha befogenhet att trycka på raderingsknappen? Vem ska ha rätt att radera ett ärende? Här anser vi att man noga bör överväga om t.ex. en slutlig radering ska kräva godkännande av en partner.

Vem kan se vad?

Dataskydd innebär också att man skyddar data mot att lämnas ut till obehöriga personer. Hur ser vi till att ingen i företaget råkar se något som de inte borde se?

Naturligtvis måste IT-säkerheten vara under kontroll så att hackare inte kan stjäla data och antingen sälja den eller ta bort den från systemet och kräva betalning för att få tillbaka den, vilket har hänt. Tyvärr kan vi konstatera att det finns ett stort antal misslyckade inloggningsförsök på fjärrskrivbord med Navokat-lösningen, där programvaran arbetar med trial and error för att få tillgång. Det här är ett hot som alla borde ta på allvar.

Men även internt måste vi helt enkelt se till att endast rätt personal har tillgång till uppgifterna. Ska alla användare på kontoret ha tillgång till all data i alla ärenden, eller kan man utforma begränsningar som uppfyller GDPR-kraven utan att hindra den dagliga verksamheten?

På samma sätt kan man fundera över om den externa IT-leverantören alltid ska ha obegränsad tillgång till data. De ska naturligtvis kunna ge support och åtgärda IT-problem och i det sammanhanget kan det t.ex. vara rimligt att ge dem tidsbegränsad tillgång till data, men IT-leverantören behöver inte nödvändigtvis ha fri tillgång hela tiden.

Vem har tillgång till vad?

Det är naturligtvis också viktigt att kunna dokumentera hur den enskilde har använt sina rättigheter. Vem har tittat på vilka uppgifter och när?

Det är viktigt att ha denna åtkomstlogg så att efterlevnaden av dataskyddet kan dokumenteras och åtkomstförfrågningar kan besvaras på ett tillfredsställande sätt.

Hur långt har du kommit i GDPR-processen?

Det finns mycket att ta ställning till om en advokatbyrå ska kunna uppfylla alla aspekter av GDPR. En annan omtvistad fråga är hur mycket man rimligen kan förväntas anpassa sig till om man är en liten byrå med små resurser och om tekniken ännu inte kan hjälpa till på alla områden.

Men det första steget är att inventera så att du vet hur långt du har kommit och sedan planera hur stora ambitioner du vill ha inom GDPR-området.

Om du behöver någon som kan fungera som bollplank i GDPR-frågor i relation till ärendehanteringssystem, så tar vi gärna ett samtal utan att det kostar dig ett öre. Vi är alltid öppna för en debatt om ett av de ämnen som just nu är mest aktuellt för jurister.