I GDPR-regelverket er persondata definert som «enhver informasjon om en identifisert eller identifiserbar fysisk person». Det er ganske omfattende det. Bare tenk på hva vi som arbeidsgiver omgir oss med når det gjelder informasjon om våre ansatte.
Det er ganske fornuftig at vi blir bedt om å ha kontroll på data om våre ansatte, i hvert fall når vi tenker på data som lønnsinformasjon, personalia, personnummer, nærmeste pårørende og ansettelsesavtalene våre. Og da er det også fornuftig at vi legger begrensninger på hvem som skal ha tilgang til dette.
Men hva med mindre «farlig» informasjon som mitt telefonnummer, hvilken stilling jeg har, hva jeg er flink til, hva jeg har ansvar for eller når er jeg tilgjengelig for et møte? Ifølge definisjonen er også dette persondata, men må vi begrense tilgangen til denne informasjonen?
Dette er noe av bakgrunnen for at vi bør vurdere risikoen som er knyttet til at data kan komme på avveie. Det er ganske stor forskjell på om mitt telefonnummer eller mitt personnummer kommer på avveie. I tillegg er det et ganske annet behov i organisasjonen for å gjøre mitt telefonnummer kjent, framfor mitt personnummer.
I de fleste organisasjoner er det en forutsetning for å kunne arbeide sammen på en effektiv måte at vi har tilgang til hverandre, at vi vet hvem som har ansvar for hva, hvem som er spesialist på hva, og lignende. Dette er informasjon som innebærer lav risiko for misbruk, samtidig som det er helt nødvendig å dele slik informasjon for effektiv intern samhandling.
For at vi skal kunne håndtere dette på en hensiktsmessig måte bør vi lage en beskrivelse av det vi da kan kalle åpne persondata; hva dette er og hva det betyr at de er åpne. Beskrivelsen har flere formål. Den skal gi en legitim begrunnelse for hvorfor opplysningene må deles internt, den skal beskrive hvilke opplysninger det gjelder og den skal ikke minst forklare de ansatte at når du er ansatt her må du tillate at slike opplysninger om deg er åpne for de andre ansatte.
For de aller fleste utgjør dette ikke noe problem, tvert om er det relativt selvsagt at slik må det være. Vi må bare sørge for at dette også skjer innenfor regelverket gjennom å dokumentere det.
