Personopplysninger i Visma Business

2. søndag i advent, 2022

Det hender jeg blir trukket inn i en diskusjon hos kunder om personopplysninger i Visma Business (VBus). Det er nok mange som tenker at de ikke har det og at GDPR ikke er relevant for VBus og VDC. Og så er det noen som tar det på alvor og har tenkt grundig gjennom hvilke konsekvenser det har for dem. Fra en av disse kundene fikk jeg følgende spørsmål:

1.     Privatkunder som ikke har handlet på 5½ år: Hvordan indentifiseres disse enkelt og vil funksjonen Slette kunde og leverandørdataAktør-tabellen dekke GDPR-kravene?

2.     Bedriftskunder:

º      Ordre eldre enn 5½ år: Hvordan fjerne personopplysninger (kontaktperson, epost, tlf, etc.) både på ordre og ordredokumenter?

º      For de som ikke har handlet på mer enn 5½ år: Hva er beste praksis for å fjerne informasjon om kontaktpersoner på «kundekortet»?

3.     Oversikt over ansatte som sluttet for mer enn 5½ år siden: Hvordan fjerne navn og annet i alle tabeller og på dokumenter?

4.     Document Center (VDC): Hva er beste rutine for å «kaste» dokumenter etter 5½ år?

Generelt om GDPR

Veiledning omkring hvordan GDPR-reglene skal forstås, er utenfor kjernekompetansen til Amesto. Vår kompetanse ligger på hva som er mulig i standard VBus, bruken av VBus og hvordan man kan lage spesialløsninger for det som ligger utenfor standard VBus.

Vi anbefaler alle våre kunder å sette seg inn i disse reglene og om nødvendig søke bistand fra de som har slikt som sin primærfunksjon. Datatilsynet er et godt sted å starte, se https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/

Et viktig spørsmål er om et dokument, f.eks. en inngående faktura, hvor en leveringsadresse er oppgitt som et personnavn med vedkommende sin adresse, telefonnummer og epost-adresse – er omfattet av GDPR-reglene, når disse person­opplysningene ikke er søkbare. Slik jeg oppfatter veiledningstjenesten til Datatilsynet, omfattes dette av GDPR.

Et annet spørsmål er om en leveringsadresse med tilhørende telefonnummer, men uten kobling til personnavn omfattes av GDPR. Det er åpenbart mulig via eksterne verktøy (eiendoms­registre, telefonkataloger, etc.) å finne frem til person, og slik jeg oppfatter veilednings­tjenesten, omfattes også dette av GDPR.

En tredje problemstilling er om registrering av et personnavn, f.eks. at oppdragsgiver for et prosjekt er Jørgen Hattemaker, når det ikke er registrert andre personopplysninger om vedkommende – omfattes av GDPR-reglene. Jeg oppfatter det slik at også dette omfattes.

Samtalen jeg hadde med veiledningstjenesten til Datatilsynet overrasket meg. Først tenkte jeg at den jeg snakket med, hadde fått beskjed om å si at praktisk talt alt er omfattet av GDPR-reglene. Men andre jeg har snakket med senere, bekrefter denne forståelsen.

Nå er det ikke forbudt å oppbevare personopplysninger, men det kreves at man har etablert en protokoll som beskriver hvilke personopplysninger som oppbevares, begrunnelsen for å oppbevare dem, hvordan de skal behandles og hvilke rutiner som er etablert for å slette opplysningene når man ikke lenger har en begrunnelse for å oppbevare dem. Og så er det spesielle regler for sensitive opplysninger og i noen sammenhenger kreves det samtykke fra personen det gjelder. Når du går inn på en nettside får du ofte beskjed om at siden bruker cookies og så må du velge hva du samtykker til.

GDPR gjelder like mye opplysninger på papir som de som er registrert i våre systemer.

For regnskap gjelder det en generell oppbevaringsplikt på fem år. Siden oppbevaringsplikten regnes fra innsendelsesfristen til Brønnøysund, sier vi gjerne at oppbevaringsplikten er fem og et halvt år. Denne oppbevaringsplikten kan være en begrunnelse for å oppbevare noen av de personopplysningene som finnes på regnskapsdokumentene, men ikke nødvendigvis alle. Personopplysninger som fremgår av en faktura som ikke er relevant for regnskapet, har man i prinsippet ikke anledning til å oppbevare, selv om resten av fakturaen er oppbevaringspliktig. Og hva skjer når oppbevaringsplikten i regnskapsreglene passeres? Hvis det ikke finnes annen begrunnelse for oppbevaring, så inntreffer en plikt til å slette alt som er av personopplysninger. I min samtale med veiledningstjenesten til Datatilsynet påpekte jeg at mange inngående fakturaer vil inneholde noen personopplysninger, slik som Deres ref. og Vår ref. – men at det også vil være mange som er helt uten personopplysninger. Inntreffer det da en generell sletteplikt når oppbevaringsplikten etter regnskapsreglene passeres? Svaret var nei, på ingen måte – det er bare plikt til å slette de dokumentene som inneholder personopplysninger. Og (forteller veiledningstjenesten) et alternativ til å slette dokumentene, er å sladde dem – altså bare fjerne person­opplysningene på dokumentene. Jeg ser for meg en del praktiske utfordringer og da tenker jeg både hvordan det kan gjennomføres rent teknisk og arbeidsomfanget; her kan det bli sommerjobb for mange. I praksis vil ingen vil sette seg ned og bla igjennom alle dokumentene i det fem og et halvt år gamle regnskapet for å luke ut de dokumentene som inneholder personopplysningene. I praksis har man en sletteplikt som inntrer når oppbevaringsplikten opphører. Om man da ikke har en annen begrunnelse for oppbevaring.

Personopplysninger på ordre og tilhørende dokumenter

Ordre kan det, i tillegg til kundenr/lev.nr, navn og adresse, være henvisning til Kontaktperson, Kontaktperson 2, Leveres aktør og Send til aktør. Alle disse henviser til Aktør-tabellen. Aktører kan (i Kundepref.) være merket som Privatperson. Jeg anbefaler at aktører som faktisk er privatpersoner (herunder ANS-firma), merkes som Privatperson. Da kan anonymisering gjennomføres ved å (på ordren og på alle ordrens ordredokumenter samt på produkttransaksjon) slette:

º      Kontaktperson og Kontaktperson 2

º      Send til aktør hvis denne er Privatperson.

º      Leveres aktør og Leveres Navn og adresse hvis denne aktør er Privatperson.

I tillegg finnes en del tekstfelt som kan være et personnavn, typisk Deres ref. og Vår ref. På noen ordre er det personnavn i feltene Merket eller Rekvisisjonsnr, selv om disse i hovedsak benyttes til andre opplysninger. Så kan det være lagt inn personopplysninger i noen av de andre tekstfeltene, slik som Opplysning 1 - 6.

GDPR krever at alle som registrerer personopplysninger vet hvilke felt som kan benyttes til dette og at disse opplysningene må slettes når tiden er inne for det. Hvis det registreres annen informasjon i «personopplysningsfelt» vil også denne informasjon gå tapt når personopplysningene slettes. For å ha et bevisst forhold til hvilke kolonner som kan brukes til personopplysninger, kan vi bruke en avvikende farge på kolonnenavn og ledetekst. Akkurat det kan faktisk automatiseres.

I dokumentarkivet finnes det en tabell (Ordredokumentformel) som inneholder enkeltdeler til selve ordredokumentet. Primærnøkkelen er Ordredok.nr og Formularlinjenr. I tabellen Ordredokument (med Ordredok.nr som primærnøkkel) finnes Formularnr. På Formularelement er det en formel som forteller hva som skal vises på denne delen av formularet. Det kan være navnet på en kontaktperson eller for så vidt vedkommende sin adresse, tlf.nr, epost-adresse, etc. Om dette er tilstrekkelig til å si at informasjonen er søkbar, er jeg sterkt i tvil om. Alt innhold i denne tabellen knyttet til ordren, bør nok slettes når personopplysningene på ordren skal slettes. I praksis vil dette bety at ordredokumentet ikke kan gjenskapes fra dokumentarkivet etter slik sletting.

I tillegg vil det normalt finnes en pdf-kopi (evt. en tif-kopi) av alle dokumentene som samtidig bør slettes.

På ordre kan det være henvisning til en ansvarsenhet (typisk Avdeling og Prosjekt). På ansvarsenhetene finnes Oppdragsgiver. Dette er normalt et personnavn, uten at det nødvendigvis finnes andre opplysninger om vedkommende. Det å blanke ut Oppdragsgiver på er rimelig enkelt. Anbefaler at dere setter en Reel sluttdato der hvor det er relevant (f.eks. på prosjekter) og at Oppdragsgiver blankes en tid etter dette.

Det bør settes opp en jobb som går i bakgrunn og som kjøres etter en fastsatt plan, f.eks. hvert kvartal som foretar slik sletting. Så må omfanget av slettingen avklares:

º      Kontaktperson, Kontaktperson 2, evt. Send til aktør, Leveres aktør, Leveres Navn og adresse på Ordre og i Ordredokument

º      Deres ref., Vår ref., evt. Merket, Rekvisisjonsnr og/eller Opplysning 1 - 6

º      Ordredokumentformel i dokumentarkivet

º      PDF-kopi (og evt. TIF) på disk

Oversikt som viser dato for siste bevegelse pr. kunde

Det kan etableres en DME-tabell (egentlig et view) med én rad pr. kunde som viser periode for siste bevegelse i kundesaldo-tabellen. I versjon 17 kom det egen tabell (egentlig et view) med en rad pr. kunde med åpne poster. Det er veldig enkelt å lage en tilsvarende for alle kunder.

Ansatte som sluttet for mer enn x år siden

Til datoAktør-tabellen kan med fordel benyttes til å angi når ansettelsesforholdet ble avsluttet. På ordren kan man legge inn Ans.nr, Ansvarlig og Selger/innkjøper som alle viser til Ans.nrAktør. Det er et meget stort antall tabeller som har en kolonne som viser til Ans.nrAktør; i tillegg til ordre også ordrelinjer, ordredokumenter, ordredokumentlinjer, oppdaterte bilag, hovedboktransaksjon, kundetransaksjon, budsjettlinje, aktivitet for bare å nevne noen få. I stedet for å endre på alle tabeller hvor det er en henvisning til den ansatte, kan personopplysningene slettes i Aktørtabellen på de ansatte som har sluttet for mer enn x år siden. I noen tilfeller er en ansatt også en kunde (på samme aktørnr). Når slike ansatte slutter (men fortsetter å være kunde), bør det opprettes en ny aktør hvor all ansatt-relevant informasjon kopieres til den nye aktøren (inkl. Ans.nr). På den opprinnelige aktøren slettes all informasjon som ikke er relevant i rollen som kunde.

Man kan innvende at informasjon om den ansatte figurerer på ordredokumenter, men om denne informasjonen er slettet i slik prosedyre som er beskrevet over, så er jobben gjort.

VDC: Dokumenter skal «kastes» etter x år

Det finnes en funksjon i VDC for sletting av dokumenter som fra fanen arkiv. Her er det lett å finne dokumenter som er opprettet et bestemt år. Strengt tatt burde det ha vært en mulighet til å velge dokumenter ut fra regnskapsperiode, men opprettet er kanskje godt nok.

Du får et varsel om at slettingen er permanent og ikke kan reverseres. I VBus beholdes VismaID, men dokumentene er borte fra disk og ikke tilgjengelig med noe verktøy.

Spesielt om memo på aktør, ordre og ordrelinje

Memo er rent teknisk en txt-fil på utsiden av databasen (for så vidt på samme måte som PDF og XML-dokumenter i VDC og PDF-kopiene i dokumentarkivet til VBus). Det ligger en henvisning (UNC-sti) på den tabellen (og på den raden) som memoet gjelder. Man kan slette denne henvisning (Memofilnavn) i databasen som usynliggjør memoteksten i VBus, men dette sletter ikke selve txt-filen. Det er som om du har en perm med papirbilag, merket med og sortert etter bilagsnummer. Selv om du sletter bilagsnummer i VBus, vil det fremdeles være mulig å hente ut permen og bla i den.

Memo inneholder bare unntaksvis personnavn eller andre personopplysninger. Det hender at noen i memo legger inn et utsnitt fra en epost-utveksling som dermed inneholder både navn og epostadresse – i noen tilfeller også annen informasjon som typisk figurerer i en signatur; tittel, telefonnummer, besøksadresse, etc.

Hvis du er i tvil om hva noen har lagt inn i et memo – altså om noen har lagt inn personopplysninger her, så bør du ha sletterutiner også for de fysiske txt-filene. Vi tror at det i en eller annen patch til versjon 17.10 i 2023 kommer en funksjon for å flytte memoene inn i selve databasen. Det kommer til å forenkle slettingen.

Standard slette-rutine i VBus

I tillegg til de problemstillingene som er nevnt om memo, så vil standardrutinen i VBus ikke slette utleveringsadresser. Dette betyr at om man har registrert en eller flere leverings­adresser på en privatperson, f.eks. en hjemmeadresse og en (eller flere) hytteadresse(r), så blir ikke disse slettet. Etter bruk av standard slette-rutine kan det bli stående leverings­adresser som peker til en aktør som er slettet. Det bør lages en egen prosedyre for å slette disse.

Standardrutinen sletter heller ikke memo-henvisninger eller selve TXT-filen.

Litt om behandling av personopplysninger

GDPR krever at det settes opp klare rutiner for hvordan personopplysninger skal behandles – bl.a. for å sikre at de ikke kommer på avveie. Hos en kunde som ofte opplever deadlock i databasen (sjekk tabellen Bedriftsdatafeil) satte vi opp, etter avtale med kunden, en logging av at brukere åpner vinduer i VBus; det logges altså hvilket vindu som åpnes, av hvem, i hvilken bedrift og når. Hensikten var altså å se om vi kunne finne sammenheng mellom deadlock og hva den involverte bruker gjorde (hvilket vindu som var i bruk). Og at vi etter en tid kan se hvilke vinduer som ikke brukes i det hele tatt. Så begynte jeg å tenke på om dette kunne oppleves som utidig overvåkning av ansatte og om vi burde anbefale at dette ble drøftet med de tillitsvalgte. Jeg tok et «bilde» av hvordan loggen ser ut (hvor det altså henvises til brukernavn i VBus) og sendte til en kollega for å drøfte problemstillingen. Hans umiddelbare reaksjon var at dette var et klassisk brudd på GDPR. Jeg hadde ikke sladdet den delen av loggen som viste brukernavn. I Amesto har vi et TrustCenter hvor alle brudd blir rapportert, enten det gjelder GDPR eller sikkerhet – så også med denne hendelsen. Hvis du har behov for å ta et «bilde» av noe i VBus, fordi du trenger hjelp av noen til å løse en problemstilling – tenk over om det er personopplysninger i vinduet før du tar bilde og skjul om nødvendig kolonner/felt som ikke skal ut av huset.

I VBus er det flere logger som kan være nyttig for å finne ut hva som har skjedd. De fleste slike logger er ferskvare og det bør vurderes hvor lenge det er behov for dem. Et alternativ til å slette dem, er å fjerne referansen til person når du ikke lenger har relevant behov for å vite hvem.

Noen har etablert kontrollmekanismer f.eks. for å opprette en kunde eller en leverandør. Hos en av våre kunder har vi laget en funksjon som er slik at en kunde ikke kan benyttes før en annen person som har slik myndighet, har godkjent kunden. Og samme bruker kan ikke opprette og godkjenne en kunde. Da er det selvfølgelig nødvendig å kunne dokumentere hvem som har opprettet og hvem som har godkjent. Så må man stille spørsmålet om hvor lenge man kan hevde å ha behov for denne type informasjon.

Husk at Bruker-tabellen er personopplysninger. Og på enhver rad i samtlige tabeller i VBus står det hvem (hvilken bruker) som har opprettet raden og hvem som sist endret den. Så VBus er stinn av personopplysninger. Kanskje bør det etableres anonymiserings­mekanismer som blanker ut Opprettet av bruker og Endret av bruker etter en tid.

Radikal sanering

Når vi er inne på sletterutiner, så er det fristende å stille spørsmål om vi ikke bør ha en funksjon som etter at oppbevaringsplikten har passert faktisk sletter alt som er eldre – som ikke lenger er oppbevaringspliktig. Det skal jeg skrive om neste søndag.

 

God advent!

 

Resten av min blogg kan du lese her: frode.antun.no/VBus/blogg 

 

frode@antun.no