I Vest Administrationen vil vi gøre det nemt at være bestyrelse – hverken mere eller mindre.
Vi følger de nye GDPR persondataregler og tager ansvaret på os, de steder hvor vi kan, så der ikke ligger noget ansvar hos jer som forening/bestyrelse.
Denne orientering er ment som et overblik, så I lynhurtigt kan sætte jer ind i, hvad vi gør, og hvad I som forening/bestyrelse skal gøre.
Begrebet ’personoplysninger’ er bredt og indeholder også begrebet ’personfølsomme oplysning’, som kræver et særligt beskyttelseshensyn, hvis man som tredjemand kommer i besiddelse af dem.
Uanset om vi vil det eller ej, kan vi dog ikke som administrationsfirma komme uden om, at skulle forholde os til personoplysninger og i særlig grad ’personfølsomme’ oplysninger.
Disse oplysninger passerer gennem vore hænder hver dag.
Vores fornemste opgave er så at passe så godt på jeres personoplysninger, som det er os muligt. Samtidig skal vi også kunne fortælle, hvad vi gør ved jeres personoplysninger, og hvem der har adgang til jeres oplysninger.
Meget kort til overordnet illustration – og bestemt ikke en udtømmende oversigt – er ’personfølsomme’ oplysninger de oplysninger, som vi selv som udgangspunkt ville passe ekstra på som privatpersoner i det offentlige rum, fx kontooplysninger sammen med CPR.nr. mv., seksuel orientering, sygdomsforløb, handicap, familierelationer, herunder sygdomsforløb, ophør af samliv, dødsfald mv., politisk overbevisning, straffeattest og lignende.
Vi vedlægger til orientering en oversigt, som vi benytter i Vest Administrationen: Hvad er Persondata – VA 5.4.2018.
Den giver foreningen og bestyrelsen et rigtigt godt overblik over persondata, og hvor man skal være opmærksom.
Disse tre ting spørger vi om i forhold til alt det materiale, som vi modtager.
Vi gemmer alt, hvad der er relevant for jeres ejendom, og som vi skal som en god og ansvarlig ejendomsadministration. Det er alle offentlige dokumenter, alle jeres taloplysninger, alle jeres interne dokumenter såsom generalforsamlingsreferater, varmregnskaber, salgsdokumenter mv.
Nogle af disse oplysninger er persondatamæssigt harmløse, mens nogle andre oplysninger skal håndteres mere specielt og forsigtigt.
Vi vurderer hver eneste oplysning, som vi modtager her i Vest Administrationen i forhold til, om der er noget personfølsomt deri, og er der den mindste mistanke gør vi to ting:
Vi har udviklet et særligt program i Outlook, som tager stilling til samtlige mail, som modtages i administrationen. Også mails som sendes fra de enkelte medarbejdere.
Dette program er vi særligt stolt af. Vi kan på en effektiv måde sørge for, at alle vores mails arkiveres korrekt. Der er derfor ikke nogle medarbejdere i Vest Administrationen, som har vigtige og/eller personfølsomme data liggende lokalt:
Et eksempel kunne her være en modtaget mail med en købsaftale, hvor selve aftalen indeholder parternes cpr.nr. og underskrift, mens mailen indeholder sælgers kontonummer.
Arkiveringssystemet fungerer særdeles sikkert og effektivt.
Og bestyrelsen skal naturligvis også være velkommen til at kontakte jeres administrator for at se, hvordan det fungerer for netop jeres forening.
Vest Administrationen har en meget klar og enkel politik for, hvornår dokumenter og mails bliver slettet fra vores systemer.
Alle data slettes tidligst 3 år efter kundeforholdets ophør (=samarbejdsaftalen med boligforeningen). I den forbindelse tager vi ikke stilling til alderen for de enkelte mails, dokumenter eller lignende. Vi ser alene på aftaleforholdet til foreningen.
3-års grænsen hænger sammen med, at dette ganske enkelt er forældelsesfristen efter Forældelsesloven.
Med denne enkel regel sikrer vi os, at Vest Administrationen kan imødegå og følge op på dokumentationen i forbindelse med eventuelle kundekrav imod os.
Reglerne om persondata indeholder også to andre begreber, som er vigtige i forhold til persondatahåndtering. Som firma er vi i Vest Administrationen enten dataansvarlige eller så er vi databehandlere.
Vi har gennemgået regler i relation til disse to funktioner nøje og vores vurdering er, at vi er dataansvarlige. På den måde kan vi påtage os mest muligt ansvar i forhold til vore foreninger, uden at gå på kompromis med den måde vi driver ejendomsadministration på.
Det betyder for jer som forening, at I ikke kommer til at indgå en databehandleraftale med os. Dermed slipper I også for rent lovgivningsmæssigt at skulle føre tilsyn med os, og om vi behandler jeres medlemmers persondata forskriftsmæssigt.
Det ansvar tager vi på os.
Udgangspunktet i lovgivningen er, at det er den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelsesforordningen. Som dataansvarlig skal vi sikre os følgende:
Hvad gør vi i øvrigt selv i praksis i forhold til GDPR/persondatalovgivningen? Vi har og får naturligvis databehandlingsaftaler med vores relevante IT-leverandører m.fl.
Fordi vi som de første i branchen blev ISO-certificeret for 14 år siden, og senest i 2016 blev ’opgradereret’ til ISO9001:2015, er vi i samarbejde med en konsulent i gang med at lave procedurer og kontroller efter ISO27001 standarden.
ISO27001-standarden er en international anerkendt standard for informationssikkerhedspolitik.
ISO27001-standarden er dog en noget ’barskere’ affære at blive certificeret efter end vores nuværende ISO9001-certificering.
Og desuden. I dag er der rent faktisk kun 25-26 virksomheder i Danmark, som er certificeret efter ISO27001standarden.
Vi har af samme årsag også valgt at være i et netværk under DNV-GL, https://www.dnvgl.com/
Her kommer vi noget dybere ned i informationssikkerheden, end det traditionelt set er set inden for vores type branche.
Vi glæder os naturligvis til at fortælle yderligere om arbejdet med informationssikkerhedspolitikken.
I skal passe på de data I modtager, men så heller ikke mere.
Har I en bestyrelsesmail, skal den ligge hos en ’sikker’ leverandør. Mails modtaget i bestyrelsen af persondatamæssig karakter (hvad I selv vil anse som ’private forhold’) må ikke være frit tilgængelige for medlemmerne af jeres forening.
Helt grundlæggende skal I spørge jer selv; har jeg en bestyrelsesmæssig interesse i at være i besiddelse af disse oplysninger, fx i forhold til ventelister, varmeregnskaber, andelsoverdragelser mv. Er svaret ja, må I gemme disse oplysninger hos bestyrelsen.
Se i øvrigt også vores brancheorganisation Ejendomsforeningen Danmarks vejledning om, hvad I kan og bør som bestyrelse i forhold til persondatalovgivningen i vedhæftede oversigt.
I skal naturligvis være meget velkomne til at kontakte Vest Administrationen for yderligere information.
Vi vil også i løbet af kort tid afholde et Gåhjemmøde om hele Persondataforordningen. Så kan alle naturligvis få rig lejlighed til at stille yderligere spørgsmål.
Med venlig hilsen, Kent Friis Petersen, direktør
Bilag
Hvad er Persondata – VA 05.04.2018
Bestyrelsesmedlemmers brug af e-mail – vejledning fra Ejendomsforeningen Danmark