Nye persondataregler træder i kraft d. 25.5.2018 – hvad er op og ned?

Hvad gør vi i Vest Administrationen omkring GDPR – og hvad skal I som forening gøre?

I Vest Administrationen vil vi gøre det nemt at være bestyrelse – hverken mere eller mindre.

Vi følger de nye GDPR persondataregler og tager ansvaret på os, de steder hvor vi kan, så der ikke ligger noget ansvar hos jer som forening/bestyrelse.

Denne orientering er ment som et overblik, så I lynhurtigt kan sætte jer ind i, hvad vi gør, og hvad I som forening/bestyrelse skal gøre.

Begrebet ’personoplysninger’ er bredt og indeholder også begrebet ’personfølsomme oplysning’, som kræver et særligt beskyttelseshensyn, hvis man som tredjemand kommer i besiddelse af dem.

Uanset om vi vil det eller ej, kan vi dog ikke som administrationsfirma komme uden om, at skulle forholde os til personoplysninger og i særlig grad ’personfølsomme’ oplysninger.

Disse oplysninger passerer gennem vore hænder hver dag.

Vores fornemste opgave er så at passe så godt på jeres personoplysninger, som det er os muligt. Samtidig skal vi også kunne fortælle, hvad vi gør ved jeres personoplysninger, og hvem der har adgang til jeres oplysninger.

Meget kort til overordnet illustration – og bestemt ikke en udtømmende oversigt – er ’personfølsomme’ oplysninger de oplysninger, som vi selv som udgangspunkt ville passe ekstra på som privatpersoner i det offentlige rum, fx kontooplysninger sammen med CPR.nr. mv., seksuel orientering, sygdomsforløb, handicap, familierelationer, herunder sygdomsforløb, ophør af samliv, dødsfald mv., politisk overbevisning, straffeattest og lignende.

Vi vedlægger til orientering en oversigt, som vi benytter i Vest Administrationen: Hvad er Persondata – VA 5.4.2018.

Den giver foreningen og bestyrelsen et rigtigt godt overblik over persondata, og hvor man skal være opmærksom.

 

Hvilke oplysninger har vi? Hvorfor gemmer vi dem? Og hvem kan se dem?

Disse tre ting spørger vi om i forhold til alt det materiale, som vi modtager.

Vi gemmer alt, hvad der er relevant for jeres ejendom, og som vi skal som en god og ansvarlig ejendomsadministration. Det er alle offentlige dokumenter, alle jeres taloplysninger, alle jeres interne dokumenter såsom generalforsamlingsreferater, varmregnskaber, salgsdokumenter mv.

Nogle af disse oplysninger er persondatamæssigt harmløse, mens nogle andre oplysninger skal håndteres mere specielt og forsigtigt.

Vi vurderer hver eneste oplysning, som vi modtager her i Vest Administrationen i forhold til, om der er noget personfølsomt deri, og er der den mindste mistanke gør vi to ting:

 

  1. Vi arkiverer den konkrete oplysning i vort system, så kun bestyrelsen for jeres forening kan se oplysningen.
  2. I særlige tilfælde, så gemmes oplysninger under en særlig intern mappe i Vest Administrationen. Denne mappe har kun Vest Administrationens medarbejdere adgang til. Dette er oplysninger, som vi vurderer, er særligt personfølsomme.

 

Hvad med mails?

Vi har udviklet et særligt program i Outlook, som tager stilling til samtlige mail, som modtages i administrationen. Også mails som sendes fra de enkelte medarbejdere.

Dette program er vi særligt stolt af. Vi kan på en effektiv måde sørge for, at alle vores mails arkiveres korrekt. Der er derfor ikke nogle medarbejdere i Vest Administrationen, som har vigtige og/eller personfølsomme data liggende lokalt:

 

  1. Alle mails arkiveres altid under en særlig outlook-mappe, som kun vedrører boligforeningen. Jeres mails blandes derfor aldrig med uvedkommende foreninger.
  2. Såfremt jeres administrator eller andre i administrationen modtager personfølsomme oplysninger, så arkiveres disse i en særlig under- mappe under jeres forening. Dette tager den pågældende stilling til for hver eneste mail. På den måde sikrer administrationen og foreningen sig, at der er helt styr på eventuelle personfølsomme data.

Et eksempel kunne her være en modtaget mail med en købsaftale, hvor selve aftalen indeholder parternes cpr.nr. og underskrift, mens mailen indeholder sælgers kontonummer.

Arkiveringssystemet fungerer særdeles sikkert og effektivt.

Og bestyrelsen skal naturligvis også være velkommen til at kontakte jeres administrator for at se, hvordan det fungerer for netop jeres forening.

 

Hvornår slettes foreningens data?

Vest Administrationen har en meget klar og enkel politik for, hvornår dokumenter og mails bliver slettet fra vores systemer.

Alle data slettes tidligst 3 år efter kundeforholdets ophør (=samarbejdsaftalen med boligforeningen). I den forbindelse tager vi ikke stilling til alderen for de enkelte mails, dokumenter eller lignende. Vi ser alene på aftaleforholdet til foreningen.

3-års grænsen hænger sammen med, at dette ganske enkelt er forældelsesfristen efter Forældelsesloven.

Med denne enkel regel sikrer vi os, at Vest Administrationen kan imødegå og følge op på dokumentationen i forbindelse med eventuelle kundekrav imod os.

 

Dataansvarlig? Det er vi!

Reglerne om persondata indeholder også to andre begreber, som er vigtige i forhold til persondatahåndtering. Som firma er vi i Vest Administrationen enten dataansvarlige eller så er vi databehandlere.

Vi har gennemgået regler i relation til disse to funktioner nøje og vores vurdering er, at vi er dataansvarlige. På den måde kan vi påtage os mest muligt ansvar i forhold til vore foreninger, uden at gå på kompromis med den måde vi driver ejendomsadministration på.

Det betyder for jer som forening, at I ikke kommer til at indgå en databehandleraftale med os. Dermed slipper I også for rent lovgivningsmæssigt at skulle føre tilsyn med os, og om vi behandler jeres medlemmers persondata forskriftsmæssigt.

Det ansvar tager vi på os.

Udgangspunktet i lovgivningen er, at det er den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelsesforordningen. Som dataansvarlig skal vi sikre os følgende:

 

  • Har lov til at behandle de oplysninger, som vi som ejendomsadministrator kommer og er i besiddelse af (behandlingshjemmel).
  • Er i stand til at efterlevede registrerede personers rettigheder (f.eks. at opfylde vores oplysningspligt eller give den registrerede indsigt).
  • Får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.

 

Hvad gør vi i øvrigt selv i praksis i forhold til GDPR/persondatalovgivningen? Vi har og får naturligvis databehandlingsaftaler med vores relevante IT-leverandører m.fl.

 

Gør vi noget udover det strengt nødvendige? Ja. Vi arbejder efter principperne i ISO27001standarden.

Fordi vi som de første i branchen blev ISO-certificeret for 14 år siden, og senest i 2016 blev ’opgradereret’ til ISO9001:2015, er vi i samarbejde med en konsulent i gang med at lave procedurer og kontroller efter ISO27001 standarden.

ISO27001-standarden er en international anerkendt standard for informationssikkerhedspolitik.

ISO27001-standarden er dog en noget ’barskere’ affære at blive certificeret efter end vores nuværende ISO9001-certificering.

Og desuden. I dag er der rent faktisk kun 25-26 virksomheder i Danmark, som er certificeret efter ISO27001standarden.

Vi har af samme årsag også valgt at være i et netværk under DNV-GL, https://www.dnvgl.com/

Her kommer vi noget dybere ned i informationssikkerheden, end det traditionelt set er set inden for vores type branche.

Vi glæder os naturligvis til at fortælle yderligere om arbejdet med informationssikkerhedspolitikken.

 

Hvad kræves der af jer som bestyrelse i forhold til jeres medlemmer i foreningen?

I skal passe på de data I modtager, men så heller ikke mere.

Har I en bestyrelsesmail, skal den ligge hos en ’sikker’ leverandør. Mails modtaget i bestyrelsen af persondatamæssig karakter (hvad I selv vil anse som ’private forhold’) må ikke være frit tilgængelige for medlemmerne af jeres forening.

Helt grundlæggende skal I spørge jer selv; har jeg en bestyrelsesmæssig interesse i at være i besiddelse af disse oplysninger, fx i forhold til ventelister, varmeregnskaber, andelsoverdragelser mv. Er svaret ja, må I gemme disse oplysninger hos bestyrelsen.

Se i øvrigt også vores brancheorganisation Ejendomsforeningen Danmarks vejledning om, hvad I kan og bør som bestyrelse i forhold til persondatalovgivningen i vedhæftede oversigt.

 

Yderligere information

I skal naturligvis være meget velkomne til at kontakte Vest Administrationen for yderligere information.

Vi vil også i løbet af kort tid afholde et Gåhjemmøde om hele Persondataforordningen. Så kan alle naturligvis få rig lejlighed til at stille yderligere spørgsmål.

 

Med venlig hilsen, Kent Friis Petersen, direktør

 

Bilag

Hvad er Persondata – VA 05.04.2018

Bestyrelsesmedlemmers brug af e-mail – vejledning fra Ejendomsforeningen Danmark

Log på ProBo


Klik på linket nedenfor og log på din ejendoms ProBo, hvor du kan hente ejendommens nøgledokumenter m.m.


https://probo.dk/

Hvad leder du efter?


Brug formularen til at finde det du søger i vores mange artikler omkring andelsboliger, ejerboligforeninger og ejendomsadministration: