EU-forordning skaber arbejdsbombe

Forskere kan se frem til at skulle gennemgå samtlige mails, man har liggende i sin mailboks.
RUC-professor skal gennemgå og sortere i 80.000 e-mails, og det er formentlig typisk

25. maj trådte EU’s nye persondataforordning i kraft. Den skal styrke beskyttelsen af personoplysninger i EU. Men den er også berygtet som et enormt komplekst regelsæt, som offentlige og private virksomheder og institutioner har kæmpet med at få styr på i forhold til, hvilke krav man fremover skal leve op til, når man har med persondata at gøre.

Ud over kompleksiteten har forordningen skabt bekymring, fordi den giver datatilsynsmyndighederne mulighed for at uddele enorme bøder, hvis nogen bryder reglerne.

Det har også givet travlhed hos universiteternes jurister og IT-folk. Men her slutter travlheden ikke. De nye tilstande ser nemlig ud til at kræve en helt ny arbejdsgang i den måde, forskere skal håndtere deres mailkorrespondance. Og i første omgang kan der ligge et enormt oprydningsarbejde i de millioner af gamle mails, som forskere har liggende.

På RUC har alle ansatte således fået en mail fra ledelsen med retningslinjer, blandt andet om gamle mails.

Formelt: Alt skal gennemgås

En mail er i sig selv et datasæt med personoplysninger, idet de som minimum rummer afsenderens mailadresse og som regel også navn og andre kontaktoplysninger. Hovedreglen er derfor, at mails, der ikke har et aktuelt formål, skal slettes efter 30 dage.

”Disse nye regler bestemmer, at vi som organisation skal have kontrol over, hvilke persondata vi opbevarer, hvor vi opbevarer dem, samt at vi herudover skal kunne dokumentere, at vi har et lovligt formål med at opbevare og anvende disse persondata. Det kan kun lade sig gøre ved, at vi undersøger, hvilke data vi har liggende, og får afklaret, hvad vi bruger/skal bruge disse oplysninger til. Dette indebærer også at slette de data, som ikke længere finder anvendelse,” står der i vejledningen til de RUC-ansatte.

Med andre ord: Som ansat skal man gennemgå samtlige mails og slette dem, der ikke har aktuel brug eller dækkes af en af de øvrige undtagelser, eksempelvis korrespondance med pressen.

Praksis: Bruger mailboks som arkiv

Og det er lidt af en arbejdsbyrde, der hermed lægges på de ansatte, konstaterer fysikprofessor Jeppe Dyre: ”Nu fik vi nyt mailsystem for nogle år siden, så jeg har kun mails tilbage fra 2010. Men jeg får typisk et sted mellem 20 og 100 mails om dagen – måske omkring 10.000 mails på årsbasis. Det vil tage lang tid at gennemgå dem,” siger han.

Men et er arbejdsbyrden med at gennemgå 80.000 mails. Et andet er det faktum, at mailboksen for professoren samtidig fungerer som et slags arkiv for kontakter og korrespondancer, han kan finde frem og genopfriske.

”Som forskere har vi et kæmpe netværk. Jeg skriver af og til til nogen, jeg ikke har skrevet med i fem år. Jeg har en masse email-korrespondancer, jeg kan søge i. Det vil jeg jo ikke kunne, hvis de er blevet slettet, så der ligger et kæmpe produktivitetstab,” siger Jeppe Dyre, som frygter, at mange forskere vil vælge at ignorere de nye regler eller gå over til at bruge privat mail.

”Det er ressourcetungt”

RUC’s universitetsdirektør, Peter Lauritzen, forklarer, at det langtfra er alle gamle e-mails, man er nødt til at slette: ”Hvis du har haft en korrespondance med en person, du fortsat har brug for at maile sammen med, er du velkommen til at gemme den. Det vigtigste er, at du kan argumentere for det. I bund og grund handler det om at bruge sin sunde fornuft”.

Han erkender dog også, at det ikke nødvendigvis vil være lige til at afgøre, eksempelvis hvornår en e-mail ikke ”finder anvendelse” mere.

”I det her tilfælde er det lidt svært at definere sund fornuft, men heldigvis er det jo kloge folk, vi har med at gøre. Det vigtigste er at holde sig for øje, hvad det her skal beskytte, nemlig den personlige datasikkerhed.”

Uni-direktøren er også klar over, at der ligger en stor arbejdsbelastning alene i at skulle gennemgå sine gamle mails og vurdere, hvad der skal slettes og gemmes.

”Jeg har selv været ansat i 11 år, og jeg er også gået i gang. Det er klart, at det er ressourcetungt. Men det her skal ikke ses som en konflikt mellem medarbejdere og ledelse. Det handler om at bevare RUC’s renommé som en forskningsinstitution, man kan have tillid til.”

KU: Gemmes hvor længe?

Det er imidlertid lidt forskellige fortolkninger og handleplaner, man støder på, når man spørger forskellige universiteter om konsekvenserne af den nye persondataforordning. På KU er der foreløbig ingen påbud til medarbejderne om at rydde op i gamle mails.

”Når man arbejder med e-mails internt på KU, er de krypterede. Så har vi som andre steder en diskussion af, hvor længe man må gemme e-mails i systemet. Det er der ingen klare regler for i persondataforordningen. Der står bare, at man skal opbevare persondata sikkert og undgå ophobning,” fortæller KU-databeskyttelsesrådgiver Lisa Ibenfeldt Schultz.

Hun tilføjer dog, at hun venter på sikkerhedsvejledningen fra Datatilsynet i forhold til, hvordan man skal forholde sig til gamle e-mails.

Selv om kollegerne på KU i første omgang går lempeligere til værks, mener Peter Lauritzen ikke, at man på RUC kommer uden om at skulle rydde op i sine e-mails.

”Hvis du ringer rundt til alle universiteter, vil du sikkert få otte forskellige svar. På RUC har vi valgt forsigtighedsprincippet. Men jeg tror, at alle virksomheder og offentlige institutioner vil følge rets-udviklingen nøje på dette område og se, om der er behov for at lempe eller skærpe retningslinjerne,” siger uni-direktøren.

SDU-lektor: Det nye er bødetrusler, som virker

Og Peter Lauritzen har tilsyneladende ret. Der er ingen vej uden om den voldsomt tidskrævende opgave med at gennemgå sin mailboks. Det vurderer SDU-jura­lektor Ayo Næsborg-Andersen, som har studeret persondataforordningen.

”Jeg har meget svært ved at se, at man kan komme uden om at gennemgå sine gamle mails. Man kan selvfølgelig vælge bare at slette det hele, men det er jo heller ikke optimalt,” siger hun.

På SDU er medarbejderne også blevet bedt om at gå i gang med mail-oprydningen. Og Ayo Næsborg-Andersen nikker genkendende til de problemstillinger, Jeppe Dyre fortæller om: ”10.000 mails om året – det er nok meget normalt. I det daglige sletter jeg også kun spam-mails,” fortæller hun.

Hun peger på, at det i virkeligheden ikke er en voldsom regelændring, der gør, at danske forskere nu skal bruge et uanet antal timer til mail-oprydning samt tillægge sig nogle helt nye vaner for arkivering og håndtering af de daglige mails. Den hidtil gældende persondatalov havde nemlig nogenlunde samme krav – at man skulle undgå ophobning af gamle mails med personoplysninger. Det nye er de voldsomme bøder på op til 16 millioner kroner til offentlige institutioner, som den nye persondataforordning har indført.

”De indførte bøderne for at få folk til at tage det alvorligt. Det har så virket”.

Outlook er skurken

I virkeligheden er det mailprogrammet Outlook, der er skyld i, at forskere og mange andre i dag står med en begmand, mener hun.

”Vi bruger næsten alle sammen Outlook, og det er ikke særlig velegnet til det nye system. Ser man på de administrative personale, så lægger de al post over i et journaliseringssystem, der selv håndterer sletteregler. Outlook derimod er designet til at gemme alle oplysninger, og det skal være nemt at søge ting frem på tværs, så man behøver ikke engang bruge mapper. Det er stik imod den tankegang vi skal hen til nu,” siger SDU-lektoren.

Nu kræver de håndhævede regler imidlertid en kulturændring – og optimalt set også et nyt mailsystem.

”I dag kræver det jo mere energi at rydde op og slette mails end bare at lade dem ligge. Så indtil vi finder et arkivsystem, der er nemt at håndtere, så kommer e-mails til at være et mareridt.”

Pressen er værre end bøder …

Men på trods af alt besværet hilser Ayo Næsborg-Andersen det alligevel velkomment, at reglerne for persondatasikkerhed bliver indskærpet.

”Lige nu er det møgirriterende. Men når tingene er faldet lidt til ro, er det en positiv ting, hvis det kan komme til at virke efter hensigten. Det har været lidt Det Vilde Vesten, hvor man har kunnet gøre, hvad man ville. Det er vigtigt, at folk har tillid til, at deres oplysninger behandles ordentligt, og den tillid skaber du kun, hvis du er ærlig omkring brugen af data og passer ordentligt på det.”

Som nævnt giver persondataforordningen mulighed for, at Datatilsynet kan tildele offentlige institutioner bøder på op til 16 millioner kroner. Men Ayo Næsborg-Andersen forventer ikke, at Datatilsynet vil smide om sig med bøder.

”Jeg tror ikke, man skal bekymre sig så meget for at få den største bøde, hvis man har gjort en ærlig indsats for at prøve at leve op til reglerne. Det, man skal være bekymret for, er, at medierne finder en fejl, de kan lave en historie på, eller at de personer, man har registreret, klager. Jeg ved, at vores DPO (data protection officer, red.) forbereder sig på at de første 20 jurastuderende kommer med en klage her efter 25. maj.”

lah