Arbejder du med mennesker, der fortæller dig om personfølsomme forhold: sygdomme, seksualitet, skænderier med familie, sårbare børn…. Skriver folk til dig via mail, SMS, kontaktformular, messenger. Har du en blog? En brevkasse online? Har du en side eller gruppe på Facebook eller LinkedIn? Så skal du passe på.

Hvis folk deler personfølsomme data med dig, er der stor risiko for, at du overtræder databeskyttelsesforordningen og dermed krænker andres privatliv.

Her får du viden om hvad du skal passe på, når du kommunikerer digitalt med kunder/klienter om personfølsomme data.

  • Du får en stribe konkrete tips til at respektere databeskyttelsesforordningen og beskytte folks privatliv.
  • Du får praktiske råd om, hvordan du kan hjælpe kunder og klienter online - på en lovlig måde.
Databeskyttelsesforordningen er en EU-forordning, der har til formål at styrke og harmonisere beskyttelsen af personoplysninger i Den Europæiske Union (EU).

Forordningen omtales ofte blot som GDPR - en forkortelse af ordningens engelske navn: General Data Protection Regulation.

Der er mange nye begrænsninger. Men stadig masser af muligheder for at kommunikere digitalt med dine klienter - også om personfølsomme emner. Men du skal sikre dig, at det sker på en lovlig og etisk forsvarlig måde.

Du skal ikke kun være opmærksom på, hvad du gør fremover. GDPR gælder også gamle data. Har du en hjemmeside, der er lavet før maj 2018, bør du tjekke, om den er lovlig.

Kig også gammel korrespondance grundigt efter. Hvad har du liggende i dit emailprogram? Hvad har du af kommentarer til blogindlæg. Ligger der beskeder på dit website, der er opsamlet via en kontaktformular?

Nogle af de informationer du har haft liggende i måske mange år, kan være blevet ulovlige, da GDPR trådte i kraft 25. maj 2018.

Har du en side eller en gruppe på Facebook, kan der være store udfordringer. Særligt hvis du arbejder med personfølsomme emner.

Behøver det virkelig være så bøvlet?

Der ER blevet svært at arbejde med personlige data. Især hvis det er personfølsomme data. De seneste uger har jeg set adskillige fagfolk beklage sig. Og vaske hænder:

“Folk bestemmer da selv, hvad de vil skrive online. De ved vel, hvad de gør, når de bruger Facebook. Det er da helt op til dem selv, hvad de vil fortælle andre ved at kommentere på min blog. Skrive i min gruppe på Facebook. Sende besked til mig via FB-messenger. Kommentere på min Facebook-side…..”

Ja. Og nej. Så enkelt er det faktisk ikke.
Ikke, hvis du vil overholde GDPR!

Naturligvis er det folks eget ansvar, hvad de skriver online!

Men det er dit ansvar at beskytte de informationer folk giver dig. Det er dit ansvar, at du overholder GDPR.

Samler du data, som andre behandler for dig, er det også dit ansvar at sikre, at det sker forsvarligt og lovligt. Og det skal du kunne dokumentere med en datahandleraftale.

Det er DIT ANSVAR at beskytte de personfølsomme oplysninger folk giver dig

Uanset hvor eller hvordan andre deler deres personlige forhold med dig, så har du et medansvar for at sikre, at deres data beskyttes. Uanset det foregår via email, kontaktformular eller på Facebook. Handler det om personfølsomme informationer, er kravene skærpede.

Lad mig begynde med jura. Det er lidt kedeligt, men det er nødvendigt at forstå nogle vigtige elementer i Databeskyttelsesforordningen fra EU (GDPR).

Fem vigtige principper, du skal være opmærksom på

Jeg vil lige forklare persondataloven kort og hurtigt. Uden at bruge knastørre juridiske udtryk.

Allerførst. Strengt taget er GDPR ikke en lov, men en EU-forordning, der handler om håndtering af persondata.

  1. Reglerne gælder uanset vi taler om email. En blog. En brevkasse online. Instagram. LinkedIn. En side på Facebook. En gruppe på Facebook. (Også lukkede og hemmelige grupper!) Facebooks messenger.
  2. Indsamler du personlige informationer, skal du i nogle tilfælde have folks udtrykkelige tilladelse (samtykke) til at offentliggøre, opbevare og/eller bruge dem. Samtykket skal i givet fald være informeret. Du skal kort sagt oplyse først - om hvad du gør med deres data og hvilke rettigheder de har. Derefter kan de give samtykke.
  3. Selvom folk frivilligt og måske enddda uopfordret poster personfølsomme informationer på din blog, i din brevkasse eller på din Facebook-side, er det DIG, der har ansvaret for informationer, der ligger på kanaler, som du stiller til rådighed. Du skal sørge for, at de opbevares sikkert.
  4. GDPR gælder også for informationer, der er samlet FØR 25. maj 2018. Har du gamle kommentarer på din blog eller indslag postet på Facebook, er du ramt at et særligt problem: kan du ikke dokumentere, at folk har givet deres udtrykkelige samtykke til at gemme og bruge deres personlige data, er det ikke lovligt, at du har dem.
  5. Behandling af personfølsomme oplysninger er som udgangspunkt forbudt. Personfølsomme informationer skal derfor behandles med særlig omhu. Et eventuelt samtykke fritager ingen fra krav om, hvordan personfølsomme data skal behandles. Ansvaret for at personfølsomme data ikke lander hos de forkerte ligger hos den dataansvarlige. Altså hos psykologen, sexologen, psykoterapeuten, stressrådgiveren etc.

Du behøver ikke samtykke til at indsamle og opbevare personlige data, hvis du har gyldige og saglige grunde til at gøre det. Men du må kun indsamle de data, der er nødvendige.

GDPR har skabt adskillige “fælder”

Mange faggrupper kommunikerer med deres patienter, kunder, klienter om personfølsomme emner - og har måske ikke altid tænkt over, om andres privatliv dermed bliver krænket. Grænserne for privatliv er blevet skubbet. Vi har vænnet os til eksempelvis at blive tagget online. At blive fotograferet i utallige sammenhænge og publiceret på sociale medier.

Vi diskuterer både sexliv, utroskab, psykisk sygdom, stress, skilsmisse og børns sygdom i fuld offenlighed.

Psykologer, sexologer, psykoterapeuter, stressrådgivere, coaches og lignende er også i stor stil begyndt at kommunikere online med klienter om personfølsomme emner. Og opdager måske dårligt nok, at de sjusker med andres menneskers personfølsomme data.

  • Sådan undgår du de værste brølere med personfølsomme data: Slet alle personfølsomme data, der postes på din blog, i dine grupper på Facebook eller som kommentarer til opslag på din Facebook-side.

Sådan får du styr på de nye krav

Adskillige i sundhedsbranchen kommunikerer med klienter via usikre mailsystemer - eksempeivs via Hotmail og Gmail. Men din helt almindelige mailadresse er sandsynligvis heller ikke sikker nok til personfølsom kommunikation.

Bare det at aftale tid hos psykolog regnes for en personfølsom oplysning. Den slags skal derfor foregå via krypteret mail. Uanset du er psykolog, psykoterapeut, sexolog, stressrådgiver etc.

  • Sådan gør du mailkorrespondance sikker: Få teknisk juridisk rådgivning om, hvordan du bedst skal gøre det. Tjek eventuelt muligheden for at sende sikker email ved at bruge NemID

 

Pas på, hvis du kommunikerer med klienter via Facebook

Bruger du grupper på Facebook til at kommunikere med klienter, skal du være særdeles opmærksom, hvis der deles personfølsomme informationer. Hvis det er dig, der er ansvarlig for gruppen, er du også ansvarlig for de personfølsomme data, der postes i gruppen.

Brug grupper på Facebook - på den lovlige måde

Pas på, hvis folk kan kommentere på din blog

Du behøver ikke besøge mange blogs, brevkasser eller fora på Facebook for at se, at folk rask væk deler personfølsomme oplysninger om både sig selv og andre.

Og selvom det naturligvis er helt deres eget ansvar, så er det dit ansvar at sikre, at dine kanaler lever op til kravene i GDPR. Har du en blog, skal du være særligt opmærksom på, om der postes personfølsomme oplysninger. Eksempelvis i kommentarer på din blog.

Det tager sekunder at finde blogs, brevkasser og Facebook-sider, der overtræder GDPR.

  • Sådan får du styr på gamle blogkommentarer: Tjek om folk har postet kommentarer under deres fulde navn. Anonymiser i givet fald deres kommentar. Lav navnet om. Slet mailadresser. Fjern alle personhenførbare informationer, der kan afsløre identiteten på andre.

Nettet myldrer med personfølsomme informationer, som de fleste mennesker nok helst er fri for at se online. Og de ligger ofte hos faggrupper, der strengt taget burde vide bedre - og være mere omsorgsfulde.

  • Få tilladelse til at publicere folks kommentarer: Sørg for at informere folk ved formularen til at kommentere. Fortæl dem - i din persondatapolitik –  hvad der sker med deres kommentar - eksempelvis af den bliver offentliggjort. At du kan finde på at slette personfølsomme oplysninger.

Du kan ikke regne med, at folk er klar over - når de eksempelvis skriver en kommentar på din blog - at deres kommentar bliver offentliggjort sammen med deres navn. Jeg har set på adskillige kunders blog, at besøgende hyppigt tror, at formularen til blogkommentarer er en formular til at sende en privat besked.

Du skal have en persondatapolitik på dit website. Oplys folk om, hvordan du bruger og beskytter deres personlige oplysninger. Og du skal sikre dig, at dit website lever op til kravene i GDPR.

Sørg for at få samtykke - på den lovlige måde

At indsamle, opbevare og bruge andres personlige data kræver et lovligt grundlæg. I nogle tilfælde samtykke. Og i givet fald ikke bare et passivt samtykke.

Samtykket skal være frivilligt, specifikt, informeret og utvetydigt | Datatilsynet

Du kan altså ikke nøjes med at “Folk har vel givet tilladelse, når de selv sender mig deres data; selv poster oplysningerne på Facebook….

Det kræver ikke kun udtrykkeligt og specifikt samtykke fra afsender.
Du har også pligt til at give folk en række specifikke informationer forud.

Du skal have et informeret samtykke. Og du vel at mærke skal kunne dokumentere, at du har det. Også selvom der er tale om informationer, kommentarer og opslag, der er flere år gamle.

GDPR gælder nemlig også for indhold og informationer, du har fået FØR forordningen trådte i kraft i maj 2018.

Her kan du læse Datatilsynets vejledning om at få samtykke

Her er Datatilsynets introduktion til databeskyttelsesforordningen - den bør du som minimum læse.

  • Sådan opfylder dit nyhedsbrev forordningen: Du skal have informeret og specifikt samtykke til at sende folk nyhedsbreve. Du må ikke gemme deres navn og emailadresse uden samtykke. Og du må ikke sende elektronisk markedsføring uden at have fået samtykke.

Læs mere om, hvordan dit nyhedsbrev lever op til kravene i GDPR og markedsføringsloven

Pas på, hvis folk sender dig personfølsomme data

Uanset de bruger mail, messenger, SMS eller andre metoder, er det dit ansvar at sikre, at personlige data - og ikke mindst personfølsomme data - aldrig falder i uvedkommendes hænder.

  • Har du sikret dig, at dit website ikke uden videre bliver hacket. (Det kan du gøre på mange måder)
  • Har du kodeord på din computer og er det udelukkende dig, der har adgang til den. (Sådan bør det være.)
  • Bruger du din smartphone til både private og arbejdsmæssige formål? (Det må du ikke!)
  • Hvilke sociale medier og apps har du giver adgang til kontaktpersoner på din arbejds-smartphone (Det må du ikke)

Du kan naturligvis ikke styre, hvad folk vælger at sende til dig og ad hvilke kanaler. Men du kan slette personfølsomme oplysninger. Du kan gøre en hel del for at sikre, at de personlige data beskyttes.

  • Sådan bruger du kontaktformularer mere sikkert: oplys ved kontaktformulerer på dit website, at folk ikke bør sende personfølsomme oplysninger via kontaktformularen.

 

Sådan går det ofte galt

Lad mig nævne nogle konkrete eksempler, jeg har set under min research:

Psykologens brevkasse:
En mor fortæller (under sit eget fulde navn) om sin søns psykiske problemer og konflikter med skolekammerater. Psykologen svarer hende detaljeret. Moren har et specielt navn og er nem at finde på Facebook.

I dag er drengen måske så lille, at det ikke har nogen betydning i forhold til klassekammerater og andre, at hans problemer er offentliggjort. Men om ganske få år kan drengen, hans venner og arbejdsgivere uden videre finde drengens psykiske problemer online.

Sexologens brevkasse:
En mand fortæller om sin kamp med ekskonen om børnene. Med så mange detaljer, at det ikke vil kræve ret meget at finde ud af, hvem de pågældende er. Måske er det kun familie, kolleger etc. der kan genkende familien, men det er også slemt nok.

Den type historier er der mange af - fædre, der føler sig klemt af mødre og systemet og lufter frustrationerne online.

Grupper på Facebook - og andre sociale medier:

Der er utallige grupper på Facebook, der er oprettet af fagfolk som et tilbud til folk med konkrete sygdomme eller udfordringer. Grupperne er ofte lukkede - men man kan uden videre se, hvem der er medlem. Og når der eksempelvis oplyses, at gruppen kun er for medlemmer med en konkret sygdom, er det lig med at flashe personfølsomme oplysninger om medlemmerne.

Pas på grupper på Facebook og andre sociale medier

Mange grupper på Facebook bruges til at dele særdeles personfølsomme emnet og informationer med ligesindede. Som. en slgas online støttegruppe. Selvom der ofte deles særdeles personfølsomme oplysninger, er det lovligt, hvis gruppen administreres af privatpersoner.

Det er derimod ikke lovligt for offentlige myndigheder, virksomheder og foreninger at adminstrere grupper på Facebook, LinkedIn etc., hvis gruppen bruge til at dele personfølsomme data.

Databeskyttelsesforordningen gælder for behandling af oplysninger om personer, dvs. fysiske personer, som foretages af offentlige myndigheder og af private virksomheder, foreninger, mv. | Citat fra Datatilsynets introduktion til databeskyttelsesforordningen,

Ordningen gælder altså for offentlige myndigheder, virksomheder og foreninger. Ikke for privatpersoner.

Mange terapeuter bruger Facebook-grupper målrettet. Ofte bliver sådan en gruppe endog tilbudt som en ekstra bonus, når terapeuter og behandlere sælger rådgivningsforløb.

At en gruppe er “lukket” eller “hemmelig” er desværre ikke lig med, at deltagernes personlige data er beskyttet mod misbrug.

Laver du en gruppe på Facebook, deler du folks personlige data med andre - med gruppens medlemmer og med Facebook.
Er gruppen dit ansvar, er det også dig, der har ansvaret for at sikre, at andre menneskers data er beskyttet.

Selv om en gruppe er lukket eller hemmelig, er der iøvrigt tale om at offentliggøre - fordi adskillige mennesker (gruppens medlemmer) kan læse med.

Det er derfor ikke legalt, at folks personfølsomme oplysninger postes i en gruppe på Facebook og dermed gøres tilgængelige for andre. Ikke hvis det sker i en gruppe, der bliver administreret af en (repræsentant for) en offentlig myndighed, en virksomhed eller en forening.

  • Sådan bruger du Facebook-grupper: Vil du kommunikere med kunder, klienter om personfølsomme emner via en gruppe på Facebook, så lad være med at være den datansvarlige. Uanset gruppen er lukket eller hemmelig. Overlad ansvaret for gruppen til medlemmerne.
  • Sådan bruger du Facebook messenger: Lad være med at kommunikere med kunder via den private FB-messenger. Send dem en besked om, at de i stedet bør henvende sig via mail.
  • Sådan bruger du indbakken på din Facebook side: Lav et autosvar. der henviser folk til i stedet at sende en mail. Forklar dem venligt, at det ellers hurtigt bliver i strid med persondataloven.

Samtykke er ofte nødvendigt - men ikke altid nok

Du kan indvende, at folk skriver frivilligt. Både når de sender mail eller besked via sociale medier.

Måske de endda giver samtykke til, at deres personfølsomme data offentliggøres. På Facebook, på din blog eller på andre sociale medier?

Man behøver ikke være psykolog, psykoterapeut eller lignende for at være klar over, at (syge) folk ikke altid kan overskue konsekvenserne af, hvad de gør. At mange heller ikke har helt styr på, om udleverer mand, kone, børn på nettet.

På den anden side kan man naturligvis indvende, at det ikke kan passe, at vi skal være barnepige for vores brugere - og administrere, hvad de vælger at poste på diverse sociale medier. Men det skal vi åbenbart.

EU-Domstolen har den 5. juni 2018 afsagt dom om dataansvaret for fansider på Facebook. Om at ejeren af en side på FB er medansvarlig for, hvordan Facebook bruger data, der er postet af 3. personer.

Datatilsynet forklarer, hvad dommen betyder for dig, der har en fanside på Facebook (PDF)

Har du som f.eks. virksomhed eller myndigheden Facebook-side, eller overvejer du at få det, betyder dommen, at du skal være opmærksom på følgende:

  • Du er sammen med Facebook fælles ansvarlig for at overholde reglerne i databeskyttelsesforordningen (i forhold til den pågældende Facebook-side)
  • Du skal sikre, at besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen
  • Du skal sørge for at indgå en aftale med Facebook om fælles dataansvar, og i denne aftale skal det reguleres, hvem der har ansvar for hvad,
    og dem I behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem Facebook og dig
  • Personer, der bliver registreret som følge af besøg på din side kan udøve deres rettigheder overfor dig. Det gælder f.eks. retten til indsigt, retten til at gøre indsigelse eller retten til sletning
  • I forhold til et eventuelt erstatningsansvar i forbindelse med behandlingen af personoplysningerne hæfter du og Facebook solidarisk.

Her kan du se datatilsynets kommentarer til EU-Domstolens dom fra 5. juni 2018

Her kan du læse mere om, hvordan du sikrer, at din hjemmeside lever op til kravene i GDPR. Eksempelvis om samtykke til at offentlige personlige data.

Få juridisk rådgivning

Jeg vil for god ordens skyld understrege, at: jeg er ikke er jurist. Jeg har blot forsøgt - efter bedste evne - at formidle den viden, jeg har samlet om emnet. Arbejder du med personfølsomme emner, vil jeg stærkt anbefale, at du opsøger kvalificeret juridisk og teknisk hjælp til at gøre det rigtige. Denne gennemgang er langtfra dækkende. Der kan sagtens være unikke forhold for din branche og for din brug af sociale medier, nyhedsbreve, blog etc.