Nye persondataregler trådt i kraft pr. 25.5.2018 – hvad er op og ned?
AF Timmy Lund , ADM. Administrationschef, advokat
Hvad gør vi i Vest Administrationen omkring GDPR - og hvad skal I som forening gøre?
Nye persondataregler træder i kraft d. 25.5.2018 – hvad er op og ned?
I Vest Administrationen vil vi gøre det nemt at være bestyrelse – hverken mere eller mindre.
Vi følger de nye GDPR persondataregler og tager ansvaret på os, de steder hvor vi kan, så der ikke ligger noget ansvar hos jer som forening/bestyrelse.
Denne orientering er ment som et overblik, så I lynhurtigt kan sætte jer ind i, hvad vi gør, og hvad I som forening/bestyrelse skal gøre.
Begrebet ’personoplysninger’ er bredt og indeholder også begrebet ’personfølsomme oplysning’, som kræver et særligt beskyttelseshensyn, hvis man som tredjemand kommer i besiddelse af dem.
Uanset om vi vil det eller ej, kan vi dog ikke som administrationsfirma komme uden om, at skulle forholde os til personoplysninger og i særlig grad ’personfølsomme’ oplysninger.
Disse oplysninger passerer gennem vore hænder hver dag.
Vores fornemste opgave er så at passe så godt på jeres personoplysninger, som det er os muligt. Samtidig skal vi også kunne fortælle, hvad vi gør ved jeres personoplysninger, og hvem der har adgang til jeres oplysninger.
Meget kort til overordnet illustration – og bestemt ikke en udtømmende oversigt – er ’personfølsomme’ oplysninger de oplysninger, som vi selv som udgangspunkt ville passe ekstra på som privatpersoner i det offentlige rum, fx kontooplysninger sammen med CPR.nr. mv., seksuel orientering, sygdomsforløb, handicap, familierelationer, herunder sygdomsforløb, ophør af samliv, dødsfald mv., politisk overbevisning, straffeattest og lignende.
Vi vedlægger til orientering en oversigt, som vi benytter i Vest Administrationen: Hvad er Persondata – VA 5.4.2018.
Den giver foreningen og bestyrelsen et rigtigt godt overblik over persondata, og hvor man skal være opmærksom.
HVILKE OPLYSNINGER HAR VI? HVORFOR GEMMER VI DEM? OG HVEM KAN SE DEM?
Disse tre ting spørger vi om i forhold til alt det materiale, som vi modtager.
Vi gemmer alt, hvad der er relevant for jeres ejendom, og som vi skal som en god og ansvarlig ejendomsadministration. Det er alle offentlige dokumenter, alle jeres taloplysninger, alle jeres interne dokumenter såsom generalforsamlingsreferater, varmregnskaber, salgsdokumenter mv.
Nogle af disse oplysninger er persondatamæssigt harmløse, mens nogle andre oplysninger skal håndteres mere specielt og forsigtigt.
Vi vurderer hver eneste oplysning, som vi modtager her i Vest Administrationen i forhold til, om der er noget personfølsomt deri, og er der den mindste mistanke gør vi to ting:
- Vi arkiverer den konkrete oplysning i vort system, så kun bestyrelsen for jeres forening kan se oplysningen.
- I særlige tilfælde, så gemmes oplysninger under en særlig intern mappe i Vest Administrationen. Denne mappe har kun Vest Administrationens medarbejdere adgang til. Dette er oplysninger, som vi vurderer, er særligt personfølsomme.
HVAD MED MAILS?
Vi har udviklet et særligt program i Outlook, som tager stilling til samtlige mail, som modtages i administrationen. Også mails som sendes fra de enkelte medarbejdere.
Dette program er vi særligt stolt af. Vi kan på en effektiv måde sørge for, at alle vores mails arkiveres korrekt. Der er derfor ikke nogle medarbejdere i Vest Administrationen, som har vigtige og/eller personfølsomme data liggende lokalt:
- Alle mails arkiveres altid under en særlig outlook-mappe, som kun vedrører boligforeningen. Jeres mails blandes derfor aldrig med uvedkommende foreninger.
- Såfremt jeres administrator eller andre i administrationen modtager personfølsomme oplysninger, så arkiveres disse i en særlig under- mappe under jeres forening. Dette tager den pågældende stilling til for hver eneste mail. På den måde sikrer administrationen og foreningen sig, at der er helt styr på eventuelle personfølsomme data.
Et eksempel kunne her være en modtaget mail med en købsaftale, hvor selve aftalen indeholder parternes cpr.nr. og underskrift, mens mailen indeholder sælgers kontonummer.
Arkiveringssystemet fungerer særdeles sikkert og effektivt.
Og bestyrelsen skal naturligvis også være velkommen til at kontakte jeres administrator for at se, hvordan det fungerer for netop jeres forening.
HVORNÅR SLETTES FORENINGENS DATA?
Vest Administrationen har en meget klar og enkel politik for, hvornår dokumenter og mails bliver slettet fra vores systemer.
Alle data slettes tidligst 3 år efter kundeforholdets ophør (=samarbejdsaftalen med boligforeningen). I den forbindelse tager vi ikke stilling til alderen for de enkelte mails, dokumenter eller lignende. Vi ser alene på aftaleforholdet til foreningen.
3-års grænsen hænger sammen med, at dette ganske enkelt er forældelsesfristen efter Forældelsesloven.
Med denne enkel regel sikrer vi os, at Vest Administrationen kan imødegå og følge op på dokumentationen i forbindelse med eventuelle kundekrav imod os.
DATAANSVARLIG? DET ER VI!
Reglerne om persondata indeholder også to andre begreber, som er vigtige i forhold til persondatahåndtering. Som firma er vi i Vest Administrationen enten dataansvarlige eller så er vi databehandlere.
Vi har gennemgået regler i relation til disse to funktioner nøje og vores vurdering er, at vi er dataansvarlige. På den måde kan vi påtage os mest muligt ansvar i forhold til vore foreninger, uden at gå på kompromis med den måde vi driver ejendomsadministration på.
Det betyder for jer som forening, at I ikke kommer til at indgå en databehandleraftale med os. Dermed slipper I også for rent lovgivningsmæssigt at skulle føre tilsyn med os, og om vi behandler jeres medlemmers persondata forskriftsmæssigt.
Det ansvar tager vi på os.
Udgangspunktet i lovgivningen er, at det er den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelsesforordningen. Som dataansvarlig skal vi sikre os følgende:
- Har lov til at behandle de oplysninger, som vi som ejendomsadministrator kommer og er i besiddelse af (behandlingshjemmel).
- Er i stand til at efterlevede registrerede personers rettigheder (f.eks. at opfylde vores oplysningspligt eller give den registrerede indsigt).
- Får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.
Hvad gør vi i øvrigt selv i praksis i forhold til GDPR/persondatalovgivningen? Vi har og får naturligvis databehandlingsaftaler med vores relevante IT-leverandører m.fl.
GØR VI NOGET UDOVER DET STRENGT NØDVENDIGE? JA, VI ER CERTIFICERET I ISO27001 STANDARDEN.
Vi blev som de første i branchen ISO-certificeret i 2008 og i 2016 ’opgradereret’ til ISO9001:2015. I 2020 er vi i samarbejde med DNV-GL blevet certificeret efter den højeste internationale standard inden for informationssikkerhedspolitik, ISO27001, hvor GDPR indgår som et delelement.
Der er under 100 virksomheder i Danmark, som er certificeret efter ISO27001 standarden.
Vi har af samme årsag også valgt at være i et netværk under DNV-GL.
Her kommer vi noget dybere ned i informationssikkerheden, end det traditionelt set er set inden for vores type branche.
Vi glæder os naturligvis til at fortælle yderligere om arbejdet med informationssikkerhedspolitikken.
HVAD KRÆVES DER AF JER SOM BESTYRELSE I FORHOLD TIL JERES MEDLEMMER I FORENINGEN?
I skal passe på de data I modtager, men så heller ikke mere.
Har I en bestyrelsesmail, skal den ligge hos en ’sikker’ leverandør. Mails modtaget i bestyrelsen af persondatamæssig karakter (hvad I selv vil anse som ’private forhold’) må ikke være frit tilgængelige for medlemmerne af jeres forening.
Helt grundlæggende skal I spørge jer selv; har jeg en bestyrelsesmæssig interesse i at være i besiddelse af disse oplysninger, fx i forhold til ventelister, varmeregnskaber, andelsoverdragelser mv. Er svaret ja, må I gemme disse oplysninger hos bestyrelsen.
Se i øvrigt også vores brancheorganisation Ejendomsforeningen Danmarks vejledning om, hvad I kan og bør som bestyrelse i forhold til persondatalovgivningen i vedhæftede oversigt.
Har du spørgsmål vedr. Nye Persondatareglerne? Kontakt administrationschef Timmy Lund tlf. 3328 0227 eller email tlu@vestadm.com
Bilag
Hvad er Persondata – VA 05.04.2018
Bestyrelsesmedlemmers brug af e-mail – vejledning fra EjendomDanmark
EJENDOMS- ADMINISTRATION
Leder du efter en professionel ejendomsadministrator? Vi har mere end 30 års erfaring med ejendomsadministration og byggestyring for andels- og ejerboligforeninger og gårdlaug.

KONTAKT OS
Du er selvfølgelig altid velkommen til at kontakte os. Udfyld formularen og vores venlige og dygtige reception hjælper dig.
HOLD DIG OPDATERET
Her har du muligheden for at få værdifuld viden om ejendomsadministration af andels- og ejerboligforeninger. Vi vil hellere levere kvalitet end kvantitet til dig, så forvent ikke mere end 1-2 informationsemails om måneden.