Menu

Log ind
Edit Template
Log ind
Edit Template

GDPR i det offentlige rum

Forestil dig, at du har søgt nyt job. Du har skrevet en motiveret ansøgning, vedhæftet dit CV og måske endda et billede. Det er en personlig beslutning, som kun ganske få mennesker kender til. Alligevel sidder en HR-medarbejder i et morgentog og gennemgår ansøgningerne på en stor computerskærm – synligt for alle omkring. En medpassager genkender endda en af ansøgerne.
Når fortrolige oplysninger kører med toget

Det var præcis den situation, som Rene Skau Björnsson beskrev i et indslag hos TV2 Østjylland. Ifølge professor Sten Schaumburg-Müller fra Syddansk Universitet kan den slags situationer være i strid med GDPR, hvis fortrolige oplysninger åbenlyst kan ses af uvedkommende.

Rene Skau Björnsson oplever, at grænserne for, hvad man synes, man kan tillade sig at dele med andre, er skredet, og det er en bekymrende udvikling. For hvad betyder det for os som borgere, medarbejdere og kunder, hvis vores oplysninger flyder frit i det offentlige rum? Og hvad betyder det for tilliden til de virksomheder, vi overlader vores data til?

Den stille tillidskontrakt

Når vi deler personoplysninger med en virksomhed, indgår vi en kontrakt, hvor vi forventer, at vores data bliver behandlet med respekt, diskretion og omtanke. Ikke kun juridisk korrekt, men ansvarligt. Og selvom vi får en kvittering i form af privatlivspolitikken, handler databeskyttelse ikke kun om paragraffer – det handler om at passe på mennesker.

Og det handler igen om tillid. For når vi afleverer personoplysninger – hvad enten det er i en jobansøgning, som kunde eller som medarbejder – overlader vi et stykke af os selv. Vi forventer, at virksomheden passer på det, og derfor er det problematisk, når fortrolige oplysninger behandles i det offentlige rum uden tilstrækkelig beskyttelse. Ikke nødvendigvis fordi nogen har onde intentioner, men fordi man mister kontrollen over, hvem der kan se eller høre med.

GDPR er netop indført for at sikre mod dette. Reglerne kræver, at virksomheder træffer passende foranstaltninger for at beskytte personoplysninger mod utilsigtet adgang. Det gælder også i toget, på caféen og i lufthavnen – ikke kun bag kontorets vægge.

Når hverdagen bliver en risiko

For vi arbejder fleksibelt som aldrig før. Toget er blevet kontor. Caféen er møderum. Hjemmet er arbejdsplads. Men reglerne for databeskyttelse ændrer sig ikke, fordi omgivelserne gør.

Hvis personoplysninger kan ses af uvedkommende, kan der som nævnt være tale om et brud på databeskyttelsesforordningen. Det gælder, uanset om det sker på virksomhedens adresse eller i togkupéen mellem Aarhus og Odense. Det samme gælder, hvis følsomme oplysninger mundtligt drøftes så højt, at uvedkommende kan identificere personer eller virksomheder.

Navne, billeder, helbredsoplysninger, personalesager og økonomiske forhold er ikke blot “arbejdsmateriale” – det er menneskers liv.

Selv når der “kun” er tale om synlige jobansøgninger i et tog, kan skaden være reel. For den enkelte ansøger kan det skabe mistillid og bekymring. For virksomheden kan det svække omdømmet og relationen til både kandidater og medarbejdere. Og konsekvenserne kan være større, end man umiddelbart forestiller sig. I 2021 overhørte en journalist fra Jyllands-Posten en samtale på Molslinjen, som senere førte til dom for insiderhandel. Sagen understreger, at det, der siges i det offentlige rum, ikke forbliver privat.

Ledelsen skal tage ansvar

En af webinarets hovedpointer var, at sikkerhed starter med ledelsen. Uanset om man driver en enkeltmandsvirksomhed eller et selskab med tusind ansatte, er det ledelsen, der bærer ansvaret for at sikre data, systemer og kundetillid. Det kræver ikke nødvendigvis store investeringer, men en bevidst holdning til, hvordan man vil beskytte sin virksomhed. 

De fleste sikkerhedsbrud sker ikke, fordi nogen er onde – men fordi nogen er uopmærksomme. Et svagt kodeord, en manglende opdatering eller et uheldigt klik kan være nok til at kompromittere hele driften. Mange virksomheder har styr på backup, men glemmer at teste, om den faktisk virker. Andre har politikker på papir, som ingen medarbejdere kender. En it-sikkerhedspolitik har kun værdi, hvis den bliver omsat til praksis i hverdagen.

Ansvaret stopper ikke ved hoveddøren

En virksomheds ansvar for databeskyttelse ophører ikke, når medarbejderen forlader kontoret. Tværtimod stiller den moderne arbejdsform større krav til tydelighed og ledelse.

GDPR kræver passende tekniske og organisatoriske foranstaltninger. Det betyder i praksis, at medarbejdere skal vide præcist, hvad de må – og ikke må – når de arbejder på farten eller hjemmefra. Derfor er det ikke nok kun at have en politik liggende på intranettet.

Medarbejdere skal forstå, hvilke oplysninger der er fortrolige, hvornår de må behandles – ikke mindst uden for kontoret – og hvilke situationer der kræver ekstra forsigtighed. De skal vide, hvordan de beskytter skærmen mod nysgerrige blikke, og hvorfor brugen af offentligt wifi uden sikker forbindelse kan indebære en risiko.

Tekniske løsninger som skærmfiltre, automatisk skærmlås og VPN-forbindelser er vigtige. Men de gør det ikke alene. Det afgørende er en kultur, hvor man naturligt stopper op og overvejer konsekvenserne. Medarbejdere skal ikke blot kende reglerne – de skal forstå, hvorfor de findes. Når man forstår, at det handler om menneskers tryghed og værdighed og ikke mindst virksomhedens omdømme, ændrer adfærden sig.

Hjemmekontoret – en overset risiko

Hjemmearbejdspladsen opleves ofte som tryg, men hjemmekontoret kan være lige så risikofyldt som toget. Dokumenter kan ligge fremme, skærme kan være synlige for familiemedlemmer, printeren kan stå i et andet rum, og arbejdsudstyr kan blive brugt til private formål. Den arbejdsro, vi forbinder med hjemmet, kan skabe en falsk følelse af sikkerhed.

Her er instruktion og dialog igen afgørende, og derfor bør virksomheder sikre klare retningslinjer og løbende dialog om, hvordan man indretter en sikker arbejdsplads derhjemme. Ikke for at kontrollere, men for at støtte både medarbejdere og dem, hvis oplysninger behandles.

Databeskyttelse som konkurrenceparameter

Derfor handler databeskyttelse ikke kun om jura og sanktioner. Det handler om respekt for det enkelte menneske. Om at forstå, at bag hvert navn og hvert dokument findes en person med forventninger om diskretion.

I en tid hvor data er blevet en af de mest værdifulde ressourcer, er tillid samtidig blevet en konkurrencefordel. Virksomheder, der tydeligt viser omtanke og ansvarlighed, styrker relationen til både kunder og medarbejdere.

Og selv små hændelser kan skabe usikkerhed. For hvis man ikke kan beskytte en jobansøgning i et tog, hvad så med de større og mere komplekse datamængder?

Databeskyttelse er i sidste ende ikke et spørgsmål om teknik. Det er et spørgsmål om etik, kultur og ledelse. Det handler om at skabe en hverdag, hvor medarbejdere naturligt stopper op og spørger sig selv, om det nu også er et godt sted at arbejde med de pågældende data?

Så næste gang computeren åbnes i et tog, er det måske en idé netop at stille sig selv spørgsmålet: Ville jeg være tryg, hvis det var mine egne oplysninger, der lå på skærmen og blev behandlet sådan? Når svaret får os til at handle mere omtænksomt, styrker vi noget langt vigtigere end data. Vi beskytter relationer – og vi styrker tilliden.

Se indslaget her

Se også sagen om insiderhandel

Del dette indlæg

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Book møde

Andre artikler
GDPR

GDPR-lempelser?

Vi får aktuelt en del henvendelser om, hvorvidt SMV’er måske bliver fritaget for GDPR. Tvivlen er affødt af, at Europa-Kommissionen den

Læs mere

Ja tak – send mig jeres nyhedsbrev

Tilmeld
MH9230_frit_300x240px

Vil du vide mere?

Book et møde , når det passer dig – eller bliv ringet op.

Book møde
Ring mig op