Nej, du kan ikke bare sende det med e-mail
Når banker, advokater og virksomheder og du selv skal have tingene til at køre nemt, glider formaliteterne i baggrunden - for alting kan jo bare klares via e-mail, ikke? Men i kulissen lurer brud på GDPR- og hvidvask-regler – og måske endnu værre: Et utal af MeToo-lignende whistleblowers, der rammer virksomhederne.
I begyndelsen fik virksomheder allerhøjest et rap over fingrene, hvis de forbrød sig mod GDPR-reglerne. Herregud, de skulle jo lige lære at navigere i de nye regler, syntes myndighedernes indstilling at være. I dag rammer den store hammer dem lige i panden: En tysk virksomhed har netop fået en tocifret millionbøde i den høje ende for ulovligt at have overvåget sine medarbejdere.
Herhjemme har flere glorværdige virksomheder oplevet den offentlige udskamning i medierne over ikke at have styr på hvidvaskreglerne. Det er ikke nyt længere, og der er derfor intet at dukke sig bag. Ingen undskyldninger, der er gode nok. Intet argument, der kan formilde danskernes syn på hvidvaskende handlinger eller en lidt for skødesløs behandling af følsomme personoplysninger. GDPR og hvidvask er på alles læber, men er de også på dine?
Er du en del af problemet?
Hvis du inden for det seneste år har sendt dine egne følsomme personoplysninger afsted via e-mail, er der en vis sandsynlighed for, at de fortsat ligger i en eller anden medarbejders indbakke. Og hvis du heller ikke ved, hvem der har adgang til oplysningerne om dig, kan du gange med 10. Du er med andre ord selv en del af problemet. Spørgsmålet er så, om du med en tidligere overborgmesters ord også vil være en del af løsningen?
Det er lidt et temperamentsspørgsmål for den enkelte, om man synes, at noget er personfølsomt eller ej. Sådan har jeg det selv med mit CPR-nummer og kontonummer, men reelt er det blot ”almindelige personoplysninger”, selvom jeg altså ikke har lyst til, at gud og hvermand skal kende disse oplysninger.
Hvad der reelt falder under personfølsomme oplysninger, er informationer som race, helbredsoplysninger, dit tilhørsforhold til en fagforening (hey, du fortæller jo heller ikke nødvendigvis andre om, hvem du stemmer på af politiske partier, vel?) samt din seksuelle orientering. Det sidste ville man nok ville have forsvoret i de frigjorte 1960’ere nogensinde skulle kunne blive et problem, men velkommen til 2021.
Er du lemfældig med dine e-mails?
Så spørgsmålet er, hvornår du deler den form for oplysninger med andre? Svaret er, at det gør en hel del af os hver dag uden at skænke det to tanker. Vi gør det, når banken beder os sende en lønseddel og et budget, når boliglånet skal omlægges. Vi gør det, når ejendomsmægleren skal se pas, kørekort og sygesikringsbevis i forbindelse med et boligkøb. Og vi gør det, når vi søger job, hvor vores helbredsoplysninger er af betydning. Vedhæft det i en e-mail og vupti så er modtageren glad, og vi kan sætte hak ved den opgave og gå videre til den næste. Men samtidig har vi gjort os selv uret, og vi kan meget vel have påført en medarbejder i en virksomhed et problem, når vores oplysninger nu ligger i deres indbakke i måske årevis og senere bliver fanget i en audit.
Fremover, når du bliver bedt om at sende nogle oplysninger, der har personfølsom karakter, bør du derfor af hensyn til dig selv og modtageren stoppe op og spørge til, hvad de har af systemer til at modtage og håndtere disse oplysninger. Hvor længe skal de have oplysningerne? Hvornår skal de ikke længere have adgang? Og hvem skal have adgangen?
Dermed tager du et proaktivt ansvar for processen, og du kan ikke længere tørre det af på modparten, at du sendte oplysningerne pr e-mail, og de senere dukker op i en mørk afkrog af nettet, fordi sikkerheden ikke har været på plads. Du har nemlig også selv et ansvar. Er du modtager af oplysninger, skal du bare sætte modsat fortegn på det, du lige har læst.
Whisleblowing kan skade virksomhederne
Enhver ansvarlig medarbejder bør nu og fremadrettet tage det som et vink med en vognstang, når en kunde spørger til deres GDPR- og hvidvaskprocedurer. For præcis som MeToo på det seneste har væltet mediebranchen, er det formentlig et spørgsmål om tid, inden danskerne begynder at agere whistleblowers og udskamme virksomheder, der ikke har styr på deres GDPR- og hvidvaskprocedurer. Og når først folkedomstolen på Facebook har været indover, kan det hurtigt blive grimt.
Vi er alle en del af problemet, men også en del af løsningen, så gør noget ved det næste gang, du ønsker at sende eller modtage personfølsomme oplysninger på en måde, der ikke er forsvarlig.
Christian Visti Larsen