Intranet vs. internet

Personoplysninger, som findes på Internettet, har fået rigtig meget opmærksomhed og med god grund. Det drejer sig om persondata på Facebook, Instagram, LinkedIn og andre sociale medier i den ene ende og over til ulovlige foto af børn eller voksne i afklædt tilstand uden deres accept. Google har fået at mærke, hvad the ”The right to be forgotten” er for en størrelse. De har nu et hav af ansatte, som håndterer anmodninger fra folk, som ikke ønsker at optræde i Googles søgeresultater.

Derimod har personoplysninger på intranet hos offentlige myndigheder, virksomheder, foreninger m.v. ikke fået megen opmærksomhed, men her gælder GDPR selvfølgelig også.

Hvordan håndteres fotos, nyheder fra HR-afdelingen, ”the right to be forgotten”? Hvornår skal der indhentes samtykke fra medarbejderne og hvad hvis samtykket tilbagekaldes? Hvad hvis der er debatforum på intranettet, hvor medarbejderne kan debattere om stort og småt lige fra firmafodbold, madopskrifter, grillfester over til virksomhedens nye strategi. Og hvad med det store monster i den lavpraktiske ende:  slettefrister. Skal intranettet deles op, så ikke alle kan se alle sider ved brug af password. Det er kun de, som har brug for personoplysninger, som må have adgang til dem.

Nogle af de oplysninger, der findes om ansatte i personaleafdelingen, er fortrolige og enkelte også følsomme. Det har de fleste noteret sig for mange år siden. Mange er også opmærksom på, at man lige skal tænke sig om, inden oplysninger om medarbejdere lægges ud på virksomhedens hjemmeside – navn, arbejds-mobil og arbejds-telefon er i orden, mens man må ikke uden samtykke lægge billeder af medarbejdere derud.

Husk også en ”Persondatapolitik” for intranettet (artikel 13 m.v.). Ligesom eksterne kunder, leverandører, abonnenter på nyhedsmail har krav på at vide, hvordan deres personoplysninger behandles, så har medarbejderen det samme krav, hvis deres persondata lægges ud på intranettet.

Virksomheden har også pligt til at respektere medarbejdernes privatliv. Her skal man nok primært kigge over i arbejdsretten, men det er også GDPR-relevant. Før har billederne fra julefrokosten måske cirkuleret rundt i virksomheden på mails, og hvor de ”sjoveste” var dem, hvor en medarbejder strippede foran alle på et bord med en ordentlig sjus i hånden. Det skal man i disse GDPR-tider nok lige overveje en ekstra gang, inden de ryger ud på intranettet. Det har man også skulle gøre før, men det blev måske ikke altid gjort.

Hvad hvis medarbejderne har adgang til selv at lægge informationer ud på intranettet, bliver de så dataansvarlige? Det kan dreje sig om debatforum, hvor medarbejderne kan debattere stort som småt, og der nemt kan forekomme personoplysninger om andre medarbejdere. Kan der blive tale om et delt dataansvar? 

Virksomheden bør have klare regler for brugen af intranettet både for dem i virksomheden som er ”ejere” og de menige medarbejder. Virksomheden har et ansvar for, at reglerne ikke bare lever en hensygnede tilværelse på en støvet side et sted, hvor ingen kigger, men at medarbejderne rent faktisk er klar over der findes regler, og hvad de betyder. På konsulentsprog ”awareness”, som lyder dyrt og kan indbringe rådgiverne et godt honorar, medmindre virksomheden gennemskuer, at det blot drejer sig om at sikre sig, at medarbejderne forstår reglerne for intranettet, ligesom det også gælder retningslinjer for betjening af maskiner eller reglerne for privat brug af virksomhedens IT.

Pyha, der blev lige mere at tænke over.

Listen over GDPR-problemstillinger, som skal overvejes ved brugen af et intranet, er længere end de, som jeg lige har kunne ryste ud af ærmet. Man skal have styr på dem ellers så kan det koste. Det kræver lidt tid, men er ikke nogen uoverkommelig opgave.

Tag et kursus eller find en god rådgiver. Luk intranettet eller sørg for det overholder GDPR-reglerne. Så er den ikke længere.

 

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle