Zoom, Teams og andre digitale møteflater brukes på mange måter og i et mye større omfang enn før korona. Vi har alle lært at digitale møteflater kan fungere utmerket. Samtidig har det vært mye medieoppmerksomhet rundt sikkerheten i systemene og mange har lurt på om personvernet er godt nok.
Den populære møteplassen Zoom har absolutt hatt sikkerhetstekniske utfordringer i det siste, det gode er at de har tatt tak i dem. Her tar jeg ikke opp hvor sikker Zoom eller tilsvarende plattformer er, men gir noen kjøreregler for hvordan personvern kan håndteres på Zoom og tilsvarende systemer.
Praktiske kjøreregler
Det er ikke så vanskelig, dette med personvern på dette området. Det er akkurat de samme reglene som gjelder for slike møter, som for vanlige møter.
Hva betyr det?
Det betyr at hva du må gjøre, avhenger av hvordan du bruker møteplassen. Dette kan selvfølgelig variere: en arbeidsgiver vil ofte bruke et slikt system på en annen måte overfor sine ansatte enn en kursholder som har deltakere fra mange bedrifter.
Hvis man deltar på et vanlig analogt seminar som skal tas opp og for eksempel legges ut på Youtube eller brukes i opplæring – ja, så får deltakere beskjed om det, uansett om det er eksterne seminarer eller interne seminarer i en bedrift.
Det samme gjelder digitalt. Dersom man inviterer en foredragsholder, er det naturlig å ha en avtale med vedkommende om hvordan opptaket skal brukes. Men også deltakerne har rettigheter som må ivaretas. Det aller viktigste er at deltakerne får vite om et møte tas opp eller ikke.
Det er enkelt å ta med slik informasjon allerede i invitasjonen til et digitalt treff. Deltakerne skal få vite om møtet vil bli tatt opp og hvordan det vil bli brukt. En ting er at det er et krav etter GDPR – men det er også alminnelig høflighet og forretningsskikk. Det er selvfølgelig høyst relevant for deltakere å vite om bilder av dem, hvilke spørsmål de stiller og hvordan de opptrer underveis vil bli lagret, og hvor offentlig opptaket vil bli.
Legg det i personvernerklæringen
GDPR krever som kjent at man viser til et såkalt «behandlingsgrunnlag». Mange bedrifter vil ha beskrevet dette i bedriftens personvernerklæring og da kan man enkelt og greit bare linke til den i invitasjonen. Eventuelt kan man angi behandlingsgrunnlaget spesifikt i invitasjonen.
I begge tilfeller vil det som regel være bedriftens «berettigede interesser» som hjemler bruken av opptaket. De som ikke ønsker å være med, står fritt til å la være. Eller de kan tilpasse eventuelle spørsmål og innspill til hva de er bekvemme med blir tilgjengelig i andre flater.
Ikke be om samtykke
Jeg anbefaler på det sterkeste å unngå å be om samtykke fra deltakerne, fordi et samtykke kan trekkes tilbake når som helst. Og hva i alle dager skal du gjøre med de som senere trekker tilbake et samtykke? Slette opptaket og sørge for at alle som har en kopi også gjør det? Og hvordan skal du eventuelt dokumentere at deltakerne har samtykket? Det er overhodet ikke praktisk. Det er ikke nødvendig heller.
Så ikke be om samtykke. Bruk berettiget interesse.
Smørbrødlista fra GDPR
GDPR har også en smørbrødliste over ulike forhold som også skal redegjøres for. Lagringstid, individets rettigheter, hvor innsynsbegjæring kan rettes og mye mer.
Jeg tror ikke det er lurt å overlesse en invitasjon med mye slik informasjon. Det er mye lurere å lenke til en side med bedriftens personvernerklæring der dette er beskrevet.
Og bare for ordens skyld: ja, absolutt alle bedrifter må ha en personvernerklæring om hvordan de behandler personopplysninger. Det gjelder alt fra store konsern til enkeltmannsforetak som driver kursvirksomhet. Innholdet vil naturligvis variere.
Det kan være greit å oppdatere en slik erklæring dersom bruk av digitale møteplasser ikke er nevnt og man tror at mye aktivitet vil skje på slike arenaer fremover.