Anonymisering og begreber

I dette dokument beskrives hvordan de nye begreber i ESCRM hænger sammen og deres betydning for den automatiserede oprydning (sletning og anonymisering) som vil ske, baseret på brugernes indstillinger.

Kategorisering

Dette opsættes på feltniveau, og har til formål at leve op til kravet om at man har kategoriseret sine data i forhold til hvad der er almindeligt data, persondata og følsomt data samt det særlige tilfælde med CPR.

En anden ting kategoriseringen muliggør er logning af adgang til følsomme informationer. Det gøres via forvanskning af data i felter med kategorierne følsom (vises som ”********”) og CPR (hvor de sidste fire vises som ”****”) f.eks. ”121212-****”, ønsker man at se indholdet så skal man klikke på knappen med øjet (Vis). Da bliver det registreret at man har set en given information, denne logning forbliver i systemet ligeså længe som de viste data.

Kategorisering vil også brugs til at sikre, at der er angivet en anonymiseringsindstilling på felter kategoriseret som ”Personhenførbar”, ”CPR” eller ”Følsom”.

Anonymisering

Anonymisering hænger sammen med kravet om at man ikke skal beholde data når man ikke længere har fagligt eller sagligt grundlag, derfor skal personer der har været i forløb ”for længe siden” fjernes. I ESCRM gør vi det ved at anonymisere alle de informationer som kan benyttes til at udlede hvem en person var (inden anonymiseringen). Derfor er det nødvendigt med en indstilling som fortæller hvordan vi skal anonymisere.

Der er følgende muligheder: Feltnavn, Anonymiseret, Start år, Start halvår, Start kvartal og Ryd. Mulighederne for hvert felt afhænger af feltets type.

Feltnavn, betyder at ved anonymisering indsættes teksten fra feltet som indhold, dvs. Har vi en person som hedder ”Thomas” til fornavn, så vil der efter anonymisering stå ”Fornavn” i rapporter og skærmbilleder. Denne indstilling kan kun benyttes hvor det er tekster der gemmes i databasen.

Anonymiseret er som ovenfor, blot med en fast tekst ”Anonymiseret”, som erstatning for ”Thomas” i ovenstående eksempel.

Start år, Start halvår og start kvartal kan benyttes på datofelter. Her vil en dato ”23-10-2010” blive til henholdsvis ”01-01-2010”, ”01-07-2010” og ”01-10-2010” det kan derfor fortsat give en indikation om hvornår et forløb startede, hvis man har en projektnote med startdato angivet i.

Udløb

Udløb benyttes til at afgøre hvor længe data skal være i systemet og hvad der skal ske når de udløber. Ligeledes benyttes alle udløb på registreringer til at afgøre hvor længe en kontakt kan forblive i systemet, førend denne anonymiseres. Der vil altså være et dynamisk udløb på kontakter, så længe der arbejdes med en kontakt vil denne ikke automatisk blive fjernet.

Til det formål skal/kan angives forskellige datoer for en registrering (note, dokument og projektnote) opsættes. Det angives om indholdet er følsomt, hvilket medfører logning af hvem der ser indholdet. Man angiver også at en registrering er personhenførbar eller ikke er personhenførbar. Angiver man at en registrering hverken indeholder følsomme eller personoplysninger så kan man beholde den for evigt.

Et udløb kan have tre forskellige datoer opsat. Det er ”slette dato”, ”anonymiseringsdato” og ”lås indtil dato”. Disse datoer er vægtet således at ”lås indtil dato” vægter højere end de øvrige. Sletning vil vægte højere end anonymisering, hvis man skulle få angivet at en projektnote skal slettes en uge før den skal anonymiseres. Har man angivet af en projektnote skal slettes en uge inden låsen udløber, da vil låsningen forhindre en sletning, men så snart låsen ophæves da vil projektnoten blive slettet.

Kontaktpersoners udløb

Udløb på kontaktpersoner er anonymisering og afhænger af ”summen” på de udløb angivet for alle registreringer på den pågældende kontakt. Udgangspunktet vil fra 25. maj være at en person anonymiseres seks måneder efter oprettelse.

Eksempel:

  1. man opretter en kontakt Ludvig d. 17-07-2018, nuværende udløb 17-01-2019.
  2. man laver en note på Ludvig i enhed x, d. 16-11-2018, med udløb slet efter 5 år (16-11-2023), nyt udløb da vil Ludvigs udløb være 16-11-2023.
  3. en bruger i en anden enhed (y) laver en ny note d. 30-01-2021 med udløb slet d. 30-01-2026. Ludvigs udløb er nu 30-01-2026
  4. enhed y trækker sig ud af ESCRM d. 23-10-2022. Alle enhed y’s registreringer (noter, dokumenter og projektnoter) slettes natten til d. 24-10-2022. Ludvigs udløb er (igen) 16-11-2023.
    Registreringer slettes uanset deres angivne udløb, vi beholder ikke data fra enheder der ikke er tilmeldt systemet.
  5. natten til d. 17-11-2023 anonymiseres Ludvig, så han nu står registreret som ”Fornavn” i CRM.

Der vil altså ikke for en kontaktperson angives en fast udløbsdato, da der kan arbejdes med kontakten i mange enheder og det er summen af arbejdet der afgør hvornår det faktiske udløb indtræffer.

Manuel anonymisering vs. Udløb

Det vil være muligt at foretage en manuel anonymisering, dette kræver dog at der ikke er angivet nogen lås på registreringer vedrørende personen.

  1. Forestiller vi os at registreringen i punkt 2 herover, var en projektnote i forbindelse med et EU-projekt, angivet med en lås indtil d. 16-11-2023. Ludvig underskriver i denne forbindelse en kontrakt/aftale hvori han acceptere at han registreres i ESCRM og ikke kan fjernes før d. 16-11-2023.
  2. kommer Ludvig senere i kontakt med enhed w og beder han om at blive fjernet fra systemet d. 01-03-2021, da vil han blive informeret om at han er låst i systemet på grund af det projekt han deltog i. Her vil han få oplyst at det er en registrering i enhed x vedrørende EU-projektet og at denne registreringer udløber 23-01-2023.

Der vil kunne være flere forskellige låsninger på samme kontakt, i det tilfælde vil alle aktive låsninger blive oplistet, således Ludvig vil være bekendt med disse, og har eventuelt mulighed for at rette henvendelse til de enkelte enheder, såfremt han ønsker at klage eller gøre indsigt.