Hvordan overholder jeg lovgivning og GDPR i Workzone?

Workzone og lovgivning

Generelt om lovgivning vs Workzone

Når du benytter Workzone skal du være bekendt med den relevante lovgivning. Der er fire love, der vedrører Workzone: Offentlighedsloven, Forvaltningsloven, Persondataforordningen/Databeskyttelsesloven (GDPR) og Arkivloven.

OFFENTLIGHEDSLOVEN

Formål - offentlig adgang til dokumenter

Formålet med Offentlighedsloven er at sikre åbenhed hos offentlige myndigheder.

Loven regulerer almenhedens ret til indsigt i hvad den offentlige forvaltning arbejder med. Det er altså med hjemmel i denne lov, at interesserede kan få adgang til at se breve, mails, notater og andre dokumenter i den offentlige forvaltning*.

*med visse undtagelser

Journaliseringspligt

Aarhus Universitet er en offentlig uddannelsesinstitution/statslig myndighed, og vi har derfor pligt til at dokumentere vores virke og eksistens i et godkendt ESDH-system (Workzone).

Formålet med at journalisere er, at man nemt skal kunne finde og identificere de dokumenter, der knytter sig til en sag.

Hvad skal journaliseres iflg. loven?

Det skal dokumenter, der vedrører administrativ sagsbehandling eller dokumenter, der på anden vis kan tillægges betydning i forhold til en sag eller universitetets virksomhed.

Det drejer sig om dokumenter, som vi har sendt til eller modtaget fra udenforstående samt vores egne interne dokumenter, når de foreligger i endelig form.

Gevinster ved journalisering:

  • Vi opfylder lovkravet og kan sikre dokumentation.
  • Vi kan lettere håndtere aktindsigtsanmodninger.
  • Vi får overblik – både over sagerne og de ansvarlige.
  • Vi kan dokumentere, at post er sendt eller modtaget, og hvornår dette er sket.  

Hvad er ikke nødvendigt at journalisere iflg. loven?

Dokumenter, der vedrører faktisk forvaltningsvirksomhed. Fx dokumenter der hidrører fra vejledning, undervisning, forskning og rengøring.

Det kan dog af praktiske årsager (og under hensyn til god forvaltningsskik) være en god idé at journalisere relevante dokumenter fra ”driften” i et system, så de kan tilgås af de medarbejdere, som bør have adgang til disse.

Hvor lang tid har jeg til at journalisere?

Dokumenter skal journaliseres snarest muligt efter deres modtagelse eller afsendelse.

  • En god tommelfingerregel er: Papirbaserede dokumenter/bilag bør journaliseres inden for 3-4 arbejdsdage
  • Mails (i det omfang de er omfattede) bør journaliseres inden for 7 arbejdsdage 

Afslutning af dokumenter (aktering)

​I forlængelse af reglerne om journalisering, skal man også være opmærksom på at få lukket/arkiveret - i fagsprog kaldet 'akteret' - sine dokumenter.

​IT-sikkerhedsrådet og Folketingets Ombudsmand har udtalt krav om, at dokumenter skal akteres, når de foreligger i endelig form. Dette skal ske for at dokumenterne ikke senere kan ændres og derved miste deres autencitet.

Notatpligt - hvornår?

Fremkommer der under sagens behandling mundtlige oplysninger eller eksterne faglige vurderinger fra anden side (privatpersoner og myndigheder), som har relevans for sagens faktiske grundlag, så skal der laves et skriftligt notat herom snarest.

Notatpligten omfatter desuden oplysninger, der udveksles mundtligt inden for samme myndighed, fx mellem ansatte, hvis det har relevans for sagens faktiske grundlag.

Definition

Sagens faktiske grundlag → Egentlige, faktuelle oplysninger. Altså oplysninger som bidrager til at supplere sagens bevismæssige grundlag eller i øvrigt tilvejebringes for at skabe klarhed med hensyn til sagens faktiske omstændigheder.

NB: Pligten til at tage notat gælder også i forhold til væsentlige sagsbehandlingsskridt i ikke-afgørelsessager. Det vil her være god journaliseringspraksis at notere hændelser på sagen, som har betydning for både sagsgangen og de involverede parter.

(Reglen gælder som udgangspunkt for afgørelsessager)

Hvornår behøver jeg ikke lave et notat?

Notatpligten gælder ikke for oplysninger, der allerede findes i sagen.

Men ud fra et ordens- og dokumentationsmæssigt hensyn kan det være en god idé at udarbejde et notat alligevel. Især hvis oplysningerne kommer et nyt sted fra.

Notatpligten gælder ikke ved udøvelse af faktisk forvaltningsvirksomhed, som bedst kan karakteriseres som praktisk opgaveløsning.

Aktindsigt

Husk at retten til aktindsigt efter denne bestemmelse tilkommer enhver. Altså både fysiske og juridiske personer (selskaber, organisationer etc.)

Aktindsigten omfatter alle dokumenter, der er indgået til eller oprettet af en myndighed som led i en administrativ sagsbehandling i forbindelse med dens virksomhed.

En række sager, dokumenter og oplysninger er dog undtaget fra retten til aktindsigt efter bestemmelsen. Fx interne dokumenter eller oplysninger, der er omfattet tavshedspligt.

Vær i øvrigt meget opmærksom på de tidsfrister, der gælder ift. svar og imødekommelse af anmodning.

FORVALTNINGSLOVEN

Må jeg kigge i andres dokumenter og sager?

”Den, der virker inden for den offentlige forvaltning, må ikke i den forbindelse skaffe sig fortrolige oplysninger, som ikke er af betydning for udførelsen af den pågældendes arbejde”.

Det betyder i praksis, at man ikke må fremsøge fortrolige oplysninger, som man ikke har brug for i sit arbejde.

Derfor er det vigtigt at man er opmærksom på adgangsrettigheder i Workzone. 

ARKIVLOVEN

Pligt til at arkivere til Rigsarkivet

AUs forpligtelser over for Rigsarkivet gælder særligt disse punkter:

  • Lovens bestemmelse om offentlige arkivalier gælder for al virksomhed, der udøves af den offentlige forvaltning og domstolene.
  • Myndighederne skal drage omsorg for varetagelse af arkivmæssige hensyn, herunder at arkivalier opbevares på betryggende måde.

DATABESKYTTELSESLOVEN

Formål - beskytte personlige oplysninger

Formålet med reglerne er at styrke borgernes retssikkerhed og beskytte personlige oplysninger mod uretmæssig brug samt regulere offentlige myndigheders og private virksomheders mulighed for at arbejde med persondata på en hensigtsmæssig måde.

Med de nye regler er der kommet et større krav til

  • Dokumentation
  • Arbejdsgangsbeskrivelser
  • Kontrolforanstaltninger

Du skal kende reglerne

Overordnet gælder det at enhver ansat der i sin jobfunktion arbejder med personlige oplysninger skal kende reglerne om, hvordan data beskyttes og håndteres.

Anvendelsesområdet for reglerne om behandling af personoplysninger

Behandling dækker alle former for operationer/handlinger med oplysninger, fx indsamling, registrering, videregivelse, brug, tilpasning, søgning, opbevaring, formidling, systematisering etc.

Eksempel: Når man gemmer eller opdaterer et dokument med personoplysninger i Workzone, så sker der en ”behandling” i lovens forstand. 

Omkring opbevaring af personoplysninger, kan du finde eksempler her.

Hvad er personoplysninger?

Personoplysninger er alle oplysninger og informationer som kan linkes direkte (og indirekte) til fysiske personer, og alle disse oplysninger – både de offentligt tilgængelige, de fortrolige og de særligt følsomme – er omfattet reglerne om persondatabeskyttelse.

Indsamling og behandling af persondata kræver altid hjemmel (et retligt grundlag). En hjemmel er fx et samtykke fra den registrerede eller myndighedsudøvelse. 

To typer personoplysninger

Personoplysninger kan kategoriseres på følgende måde:

Følsomme personoplysninger

Race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering.

Oplysninger om straffedomme og lovovertrædelser

Almindelige personoplysninger

Navn, adresse, fødselsdato, telefonnummer, væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, eksamen, ansøgning, cv, ansættelsesdato, stilling, arbejdsområde etc.

Uanset hvilken oplysning der er tale om, skal databeskyttelseslovgivningen overholdes. Men der gælder særligt strenge betingelser, når man behandler de personfølsomme oplysninger.

Vi vil kun arbejde med de almindelige personoplysninger i WorkZone.

NB om fortrolige oplysninger: Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne.

Det betyder, at de almindelige (ikke-følsomme) personoplysninger kan være fortrolige i visse situationer.

Et cpr-nummer vil altid være en fortrolig oplysning, ligesom oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold kan være det efter omstændighederne. Det samme gælder oplysninger om interne familieforhold. Oplysningerne kan her siges at have en ”privat” karakter.

Grundprincipper

Lovlighed, rimelighed og gennemsigtighed

Behandlingen skal overholde databeskyttelsesreglerne og være gennemsigtig. Behandling kræver hjemmel i lov, må ikke være for vidtgående og skal være overskuelig for den registrerede

Formålsbegrænsning

Ved indsamling skal det være klart, hvilke saglige formål oplysningerne skal anvendes til. Senere behandling må ikke være uforenelig med disse formål

Dataminimering

Behandling, herunder opbevaring af oplysninger, skal begrænses til det, der er nødvendigt for at opfylde formålet

Rigtighed

Oplysninger skal ajourføres, og urigtige oplysninger skal slettes eller berigtiges

Opbevaringsbegrænsning

Når det ikke længere er nødvendigt at behandle oplysningerne, skal de anonymiseres eller slettes.

Integritet og fortrolighed

Oplysninger må ikke komme til uvedkommendes kendskab, gå tabt eller blive beskadiget. Dette kræver forsvarlig opbevaring og behandling, hvilket bl.a. sikres gennem sikkerhedsprocedurer og undervisning.

Hvordan overholder jeg reglerne?

AU stiller med Workzone sikker software til rådighed ift. beskyttelse af (person)data.

Det er derfor sikkert at journalisere i Workzone, så længe man husker det rette indblik.

Overordnet

Vær bevidst om hvornår og hvordan I arbejder med personoplysninger. Det er vigtigt at have overblik, så prøv at gå systematisk til værks.

I relation til Workzone skal du som medarbejder løbende:

  • Rydde op i din mailboks og journalisere relevante mails i Workzone
  • Rydde op på relevante AU-drev og journalisere relevante dokumenter i Workzone
  • Rydde op på dit skrivebord på din computer og journalisere relevante dokumenter i Workzone

Vejledninger på AU

Se hvordan de administrative funktioner bør forholde sig til GDPR. Find oversigten på AU's hjemmeside om informationssikkerhed eller benyt links herunder.