Advokater måste hantera klientuppgifter på ett säkert sätt. Uppgifterna måste finnas tillgängliga på rätt plats, vid rätt tidpunkt, men vi måste naturligtvis också följa GDPR. Den här artikeln handlar om de aspekter av GDPR-efterlevnad som ska beaktas när man använder både ett ärendehanteringssystem och Outlook i det juridiska arbetet.
Den svåraste utmaningen: e-post
Låt oss börja med den del där GDPR normalt ställer till med mest problem för jurister: e-post. De flesta jurister skriver mejl i Outlook, och när vi börjar skriva “han” i mottagarfältet föreslår Outlook genast “Henrik”. Frågan är om den Henrik som Outlook tänker på är den rätta.
Att ha autokomplettering av e-postmottagare aktiverat är en av de största riskerna när det gäller efterlevnad av GDPR. De flesta jurister tror säkert att det bara är andra människor som gör fel, men vem som helst kan gå i fällan när det är mycket att göra och vi har sett många e-postmeddelanden som skickats till fel mottagare av den anledningen.
Individuella utvärderingar
Ärendehanteringssystemet innehåller en hel del uppgifter som regleras av dataskyddsförordningen. Systemet kan naturligtvis hjälpa till med efterlevnaden av GDPR, men det finns fortfarande många beslut som måste bedömas av juristerna.
När är ett ärende föråldrat? Och vem ska i så fall bedöma om ett inaktuellt ärende ska raderas eller bara anonymiseras?
Detsamma gäller för kunder och parter. Ska en föråldrad klient eller part anonymiseras eller raderas helt och hållet? Det beror på situationen.
Var lagras personkänsliga uppgifter?
Personkänsliga uppgifter finns naturligtvis om ärenden, klienter och parter och de kan finnas på många olika ställen. Det kan finnas personkänsliga uppgifter som ett personnummer på ärendekortet, eller så kan ärendet vara registrerat som att det rör en viss sjukdom eller något annat av personkänslig karaktär.
Men var annars lagras personkänsliga uppgifter?
Hur är det med tidigare anställda? Det här är ett område som kräver särskild anonymisering, eftersom det kan finnas mycket gamla tidsregistreringar som kommer att krävas som dokumentation vid ett senare tillfälle.
I själva tidsregistreringen och i de poster som läggs upp kan det stå något i stil med “insamling av läkarintyg om diagnos av psykisk sjukdom”. Det är också personligen känsligt.
Sedan har vi all data som lagras utanför ärende- och affärssystemet, till exempel alla dokument som lagras i en dokumentlösning (t.ex. SharePoint) eller på en fildelning. Dokumenten kommer naturligtvis att innehålla en hel del personuppgifter.
Det är inte heller säkert att det bara rör sig om sökbara dokument. Det kan t.ex. finnas ljudfiler eller videoinspelningar av förhandlingar i målet. Dessa är svårare att söka på namn eller personuppgifter. Och hur är det med e-postbilagor: hur kan de fångas upp?
Radering har konsekvenser
När man börjar anonymisera och radera data i praktiken dyker det upp ett antal utmaningar.
Vi har själva byggt in GDPR-funktioner i vårt ärendehanteringssystem Navokat. Syftet är naturligtvis att ge advokater så mycket stöd som möjligt vid anonymisering och radering av uppgifter, men alla beslut kräver individuella bedömningar, så det är tyvärr långt ifrån hela processen som kan ske på ett automatiserat sätt.
Vi har byggt in en logik i systemet som gör att det kan föreslå ärenden som bör raderas. Det gör det enligt vissa kriterier som du själv sätter upp. Advokaten kan sedan titta igenom förslagen och välja vad som ska raderas. Du kan t.ex. be lösningen att föreslå ärenden som arkiverades för mer än X år sedan.
Tyvärr har vi redan varit med om att en kund har litat för mycket på systemets förslag och raderat ärenden som egentligen inte borde ha raderats. Och nu är datan borta. De är helt borta, för om det fanns en funktion för att ångra raderingen skulle vi inte följa GDPR.
När du väljer att radera ett ärende är det inte bara ärendekortet och journalen som försvinner. Det kan också vara klienter, parter och alla dokument som är kopplade till ärendet. Detta inkluderar tidsregistreringar, bokförda poster – allt som finns i affärssystemets mage.
Att radera ett ärende är ett viktigt beslut. Det är ett krav enligt GDPR, men du måste vara säker på att du förstår konsekvenserna när du fattar ditt beslut.
Vi har själva byggt GDPR-funktioner i vårt ärendehanteringssystem, Navokat. Syftet är naturligtvis att stödja advokaterna mest möjligt i att anonymisera och släcka, men alla beslut kräver individuella bedömningar, så det är tyvärr långt ifrån hela processen, som kan ske per automatik.
Vi har byggt in en logik i systemet, så det kan bildas förslag till sager, som bör slettes. Det sker med utgångspunkt i några kriterier man själv opsætter. Så kan advokaten kigge forslagene igennem og vælge at slette. Du kan fx bede løsningen om at foreslå sager, som er ældre end x år efter arkiveringsdato.
Vi har tyvärr redan upplevt, att en kunde stolede for meget på systemets forslag og kom til at slette sager, der faktisk ikke skulle slettes. Och så är data væk. De är helt borta, för om det var en “fortryd”-funktion, så skulle vi jo inte uppfylla GDPR.
När du väljer, att en sag ska slettes, så är det inte bara sagskortet och journalen. Det är kanske också klienter, parter och alla de dokument, som hör till saken. Det är tidsregistreringer, bogføringer – alt det inde i maven på ERP-systemet.
Det är en omfattande beslutning at slette en sag. Det är ett krav i enlighet med GDPR, men man ska vara säker på, att man förstår konsekvenserne, när man träffar sin beslutning.
Vissa ärenden ska anonymiseras – inte slettes
Den viktigaste parametern är grundläggande tid. När sager är så gamla, att vi inte längre har ett syfte med att gemme dem, så ska de slettes. Vissa advokater tolkar det som 10 år, andra säger 5 år. Der er faktisk forskellige holdninger, men tid er altid det vigtigste kriterium.
Men det är jo inte alt, der skal slettes. Om man har en god grund till att behålla data, så måste man gärna det. En god grund kan t.ex. vara, att sagen har principiell karaktär, eller har pressens eller myndigheters uppmärksamhet.
Principiella ärenden ska naturligtvis inte slettes – men på en tidpunkt ska de kanske anonymiseras.
Det blir igen en bedömningssak, om det har principiell betydelse, att ett specifikt namn fremgår af sagen, eller om navnet kan anonymiseres. Det är igen en bedömning, som din IT-løsning desværre ikke kan hjælpe med.
Udfordringen med anonymisering bliver desværre værre endnu.
Om vi ska anonymisera Peter Petersen, som är vidne i en sag, så kan vi väl söka efter hans namn. Några ställen står där endast P. Petersen eller Hr. Petersen. Og på side 37 i et dokument står der “ejeren af cykelbutikken”, hvilket alle naturligvis ved er Peter Petersen, fordi det er en lille by, og der er kun én cykelbutik. Omtalen ska också anonymiseras.
Det är svårt att få ett IT-system till att genkende, at “ejeren af cykelbutikken” henviser til Peter Petersen, så det er igen en opgave, hvor det er svært at få hjælp fra teknologien. Teknologien skal ikke alene genkende “ejeren af cykelbutikken” som en henvisning til en person – den skal også vurdere om det er formålsvigtigt for den konkrete omtale at vide, at det handler om cykelhandleren. Det kräver antingen något seriöst kunstig intelligens – eller många timers manuelt læsearbejde.
Hur modent är ditt IT-system?
Det är 4 steg för hur dina IT-system kan hjälpa dig med att släcka och anonymisera:
- Det första steget är, att systemet kommer med förslag till ärenden, som du ska utvärdera.
- Det andra steget är, att systemet kan genomföra sletningen av de ärenden, inkl. affischer och dokument, som du väljer att släcka.
- Det tredje steget är, att systemet kan utföra anonymisering av sager ud från søgekriterier, som du vælger. Det är en slags søg-og-erstat i sagsstyrings-systemet.
- Det endegyldige trinnet är, att systemet via kunstig intelligens kan finna alla de uttryck, som är personfølsomme, som i eksemplet med “ejeren af cykelbutikken”.
De flesta systemen finns på trin 1 och 2. Vi kan inte nämna någon, som är på trin 4 eller har utsikt mot det. Men själv om systemerne kunne dække pkt. 1-4, skulle det fortfarande ligga en del av ansvaret för GDPR-överensstämmelse hos advokaterna, som ska bedöma, vad som ska göras i de konkreta fallen.
Insiktsbegäran
Nu har vi talat nog om att släcka och anonymisera. Ett annat ämne, som kan ge advokatkontorerne en stor arbetsbyrde, är indsigtsbegæringer.
Alla kan henvende sig og bede om at få at vide, hvad vi ved om dem. Och så tar vi en medarbejder ud af produktionen, som sidder og bladrer igennem dokumenter for at finde de steder, hvor pågældende person er omtalt. Det verkar helt överskueligt för ett vanligt advokatkontor, om det kommer många av den slags indsigtsbegäringer. Det har vi också bruk för systemmässig hjälp till.
Udfordringen är principiellt den samma som med anonymisering. Vi ska kunna hitta data i alla avkrokar av ärenden och dokument. Den IT-mæssige udfordringen er den samme, og teknologisk er den sværeste at løse.
Vem måste egentligen göra vad?
Det finns många deluppgifter inom detta område, och frågan är vem som egentligen ska göra vad i din organisation? När du får en slette-knap til rådighed, så nytter det ikke, at alle kan komme til at trykke på den, og så er data bare pist borte.
- Den första uppgiften är identifiering. Det handlar om att producera en bruttolista över de sager och data, som kanske ska slettes. Det är en uppgift, som IT-system i hög grad ska utföra, och det är okej, att de flesta i organisationen har tillgång till bruttolistan.
- Den nästa uppgiften är bedömning av bruttolisten. Här måste advokaterna med indsigt i den enkelte sag vurdere, hvilke sager der skal slettes og anonymiseres. Der skal måske være interne processer for, hvor lang tid over deadline, man må trække en sletning, uden at involvere en partner i beslutningen.
- Och så kommer vi till själva sletningen. Här är frågan: Vem har lov till att trycka på slet-knappen? Vem ska ha mandat till att släcka en sag? Här menar vi, det bör overvejes nøje, om det fx skal være en partner, der kan godkende den endegyldige sletning.
Hvem må se hvad?
Databeskyttelsen hanterar också om att säkra data mod att bli delt med uvedkommende. Hur säkerställer vi, att der ikke er nogen i virksomheden, der kommer til at se noget, de ikke må se?
Der skal naturligvis være styr på IT-sikkerheden, så hackere ikke kan snuppe data og sælge eller fjerne det fra systemet og kræve betaling for at lægge det ind igen, som man har set eksempler på. Vi kan tyvärr se att det är riktigt många som har glömt inloggningsförsöket på fjärrkontrollen med Navokat-løsningen, där programmeraren står och provar sig fram för att skaffa sig tillgång. Det är en trusselfaktor som alla ska ta på allvar.
Men på de interna fronterna ska vi också helt enkelt se till att endast de rätta medarbetarna har tillgång till data. Ska alla användare på kontoret ha tillgång till alla uppgifter i alla ärenden, eller kan de göra begränsningar, som uppfyller kraven i GDPR, utan att det påverkar den dagliga driften?
På samma sätt kan man överväga, om den externa IT-leverantören till enhver tid ska ha obegränsad tillgång till data. De ska naturligtvis kunna yde support og afhjælpe IT-problemer, og i den forbindelse kan det give mening fx at give tidsbegrænset adgang til data, men IT-leverandøren skal ikke nødvendigvis have fri adgang hele tiden.
Vem har haft tillträde till vad?
Det är naturligtvis också viktigt att kunna dokumentera, hur den enskilda personen har använt sina rättigheter. Vem har tittat på vilka data som finns?
Det är viktigt att ha denna adgangslog för att kunna dokumentera, att databeskyttelsen är överholdt, och för att kunna svara fyldestgørende på en indsigtsbegæring.
Var långt är du kommet i GDPR-processen?
Det är en stor mundfuld, hvis man som advokatkontor skal leve op til hvert et hjørne af GDPR. Det är också en omdiskuterad fråga, där mycket man med rimelighed kan förväntas att leva upp till, om man är ett mindre kontor med att få resurser, och tekniken faktiskt inte kan hjälpa till på alla områden ännu.
Men det första steget är att göra status, så du vet var långt du är, och så lägga en plan för, var stora ambitioner du vill ha för att ha inden för GDPR.
Om du har behov av att sparra med någon om GDPR innan för ärendebehandlingssystem, så står vi mycket gärna till förfogande för ett samtal, utan att det ska kosta dig en krona. Vi är alltid friska på en debatt om ett av de ämnen, der fylder rigtig meget for advokater for tiden.