Tavshedspligt lyder som noget, der primært hører hjemme i sundhedsvæsenet eller i det offentlige. I praksis er det også et helt centralt tema i projekter, hvor planer, budgetter, udbudsmateriale, produktidéer og persondata hurtigt kan cirkulere for bredt, hvis rammerne ikke er sat fra start.
Som projektleder er du ofte den, der samler trådene på tværs af ledelse, team, leverandører og kunder. Det gør dig også til den, der skal gøre fortrolighed konkret: Hvem må vide hvad, hvornår, og gennem hvilke kanaler?
Tavshedspligt i projekter: mere end “lad være med at fortælle det”
I projektsammenhæng handler tavshedspligt ikke kun om bevidst sladder. De fleste brud sker, når arbejdsgange og værktøjer er upræcise, eller når der opstår tidspres. Det kan være en vedhæftet fil sendt til en forkert modtager, en delt mappe med for brede rettigheder eller et screenshot i en chat, som ender det forkerte sted.
— Du kan få dem tilsendt herunder! —
Når fortrolighed svigter, rammer det typisk tre ting: fremdrift (arbejdet går i stå), tillid (internt og eksternt) og risiko (juridisk og økonomisk).
De mest almindelige lækagekilder i projekter er ofte helt lavpraktiske:
- Mødemateriale videresendt uden kontekst
- Delte links med “alle med linket”
- Private beskeder i chatværktøjer uden sporbarhed
- Print og papirer på skriveborde og i mødelokaler
- Offboarding, hvor adgange ikke lukkes samme dag
Hvad kan være fortroligt?
Fortrolighed kan dække flere typer oplysninger, og de kræver ikke samme håndtering. Hvis du vil styre tavshedspligt effektivt, skal du først sætte ord på, hvilke informationer der er følsomme i netop jeres projekt.
Det kan typisk være:
- Personoplysninger (kunde-, medarbejder-, borger- eller patientdata)
- Forretningshemmeligheder (strategi, priser, produktplaner, roadmap)
- Kontrakt- og udbudsforhold (tilbud, evalueringer, forhandlinger)
- Sikkerhedsoplysninger (systemopsætning, adgangsveje, sårbarheder)
- Interne beslutningsnotater (ledelsesoplæg, risikovurderinger)
En vigtig pointe: Noget bliver ikke automatisk en “forretningshemmelighed”, bare fordi man gerne vil holde det hemmeligt. Det skal også behandles som hemmeligt i praksis. Netop derfor er projektets processer og adgangsstyring en del af beskyttelsen.
Juridiske rammer du bør kende (og kunne forklare)
Som projektleder er du sjældent jurist, men du bør kunne spotte, hvornår projektet bevæger sig ind i områder med skærpede krav, og hvornår der skal hentes hjælp.
Hent vores bøger og skabeloner herunder
I Danmark ser man ofte disse spor:
- GDPR: Hvis projektet behandler personoplysninger, skal der arbejdes risikobaseret med “passende tekniske og organisatoriske foranstaltninger”. Datatilsynet har flere vejledninger, som er brugbare som tjekliste for sikkerhed og transmission.
- Lov om forretningshemmeligheder: Beskytter kritisk viden, når den ikke er almindeligt kendt, har økonomisk værdi og faktisk er forsøgt beskyttet med rimelige tiltag.
- Ansættelsesforhold og loyalitetspligt: Medarbejdere må ikke dele arbejdsgivers forretningshemmeligheder, også selv om der ikke ligger en særskilt aftale. En skriftlig klausul gør det dog langt nemmere at forventningsafstemme.
- Offentlig sektor: Der gælder særregler om tavshedspligt, og brud kan i grove tilfælde få strafferetlige konsekvenser.
Det praktiske greb er at oversætte “jura” til projektregler: Hvilke dokumenter klassificeres, hvordan deles de, og hvordan håndterer man eksterne parter?
Sæt en fælles standard med informationsklassifikation
Mange teams tror, de har en fælles forståelse af, hvad der er fortroligt. Det har de sjældent. En enkel klassifikationsmodel gør det nemmere at træffe hurtige beslutninger i hverdagen, også når nye personer kommer ind i projektet.
Her er et eksempel, du kan tilpasse og sætte ind i projektkontrakten, projektinitieringen eller teamets arbejdsregler:
| Klassifikation | Hvad er det? | Må deles med | Anbefalet håndtering |
|---|---|---|---|
| Offentligt | Indhold der tåler publicering | Alle | Fri deling, stadig versionsstyring |
| Internt | Drift, interne planer uden høj risiko | Interne medarbejdere | Del kun i godkendte kanaler, ingen åbne links |
| Fortroligt | Prisstrategi, udbud, persondata, kundedata | Need-to-know | Rollebaseret adgang, logning, kryptering ved deling |
| Strengt fortroligt | Fusion, større personaleforhold, sårbarheder | Få navngivne personer | Ekstra godkendelse, ingen videresendelse, kort opbevaring |
Når klassifikationen er synlig, kan du også koble den til konkrete værktøjer: Hvilke mapper, hvilke kanaler, hvilke mødeinvitationer og hvilke skabeloner der må bruges.
Kontrakter, NDA og projektets “spilleregler”
Den mest effektive tavshedspligt er tydelig, skriftlig og gentaget i de situationer, hvor folk deler information. I projekter er det typisk i kontrakter, samarbejdsaftaler og onboarding af nye deltagere.
Start med at sikre, at tavshedspligt ikke bare er en linje, men en funktionel klausul: definition af fortrolige oplysninger, formål med brug, varighed, undtagelser (fx allerede kendt viden) og konsekvenser ved brud. Ved eksterne samarbejder er en fortrolighedsaftale (NDA) ofte det rigtige værktøj, og i projektkontrakter bør tavshedspligt være et fast punkt.
En praktisk måde at få det til at virke i hverdagen er at beskrive adfærd og beslutningsveje, ikke kun jura. Aftal fx hvem der må udtale sig eksternt, og hvem der godkender deling af materiale.
Det kan du formulere som projektets minimumsregler:
- Formål med deling: Del kun, når modtageren har en konkret opgave at løse
- Godkendelsesregel: Materiale i “fortroligt” og opefter kræver navngiven godkendelse før ekstern deling
- Kanaler: Ingen fortrolige bilag via private mails eller uofficielle chatapps
- Opbevaring: Én “single source of truth” med versionsstyring og rettigheder
Adgangsstyring: gør “need-to-know” til en praksis
Adgangsstyring lyder teknisk, men handler i projektledelse om rolleafklaring. Hvem skal kunne læse, hvem skal kunne redigere, og hvem skal slet ikke kunne se materialet?
SikkerDigital peger på, at adgang bør være arbejdsmæssigt begrundet og løbende revurderes. I praksis betyder det, at du som projektleder bør planlægge adgangsarbejdet som en tilbagevendende aktivitet, ikke som en engangsopsætning.
Et enkelt mønster, der virker i mange organisationer, er:
- Rollebaserede grupper (fx “Projektteam”, “Styregruppe”, “Leverandør A”)
- Standardrettigheder per gruppe
- Fast månedlig eller kvartalsvis rettighedsgennemgang
- Hurtig lukning af adgange ved rolle- eller jobskifte
Den største gevinst kommer ofte, når man stopper med at dele på personniveau og i stedet styrer via grupper. Det reducerer fejl, når folk udskiftes midt i projektet.
Sikker kommunikation i praksis: møder, chat og dokumenter
Når teams arbejder hurtigt, flytter fortrolige oplysninger sig ofte til de kanaler, der føles lettest her og nu. Derfor skal “den sikre vej” være den nemme vej.
Datatilsynet anbefaler kryptering ved transmission over åbne netværk, og i praksis er det værd at standardisere disse valg:
- Brug samarbejdsplatforme med adgangskontrol og logning, frem for vedhæftede filer sendt rundt
- Slå multi-faktor login til på centrale værktøjer
- Undgå åbne delingslinks til fortrolige dokumenter
- Brug mødeindstillinger med venteværelse, adgangskoder og mødelås ved følsomme emner
Hvis I bruger værktøjer som Teams, Slack, Trello, Asana eller Confluence, så vær bevidst om, at “kanaler”, “boards” og “spaces” i praksis er adgangsgrænser. Det er værd at definere, hvad der må ligge hvor, og hvem der kan invitere nye ind.
Her er et sæt konkrete valg, som typisk gør en stor forskel:
- Standardkanal til fortroligt: Et afgrænset rum med navngivne medlemmer
- Deling af filer: Kun via platformens dokumentbibliotek, ikke via kopier og vedhæftninger
- Eksterne deltagere: Gæsteadgang kun til afgrænsede projekter, aldrig til hele arbejdsområder
- Mødenoter: Referater med fortrolige punkter lagres adskilt fra generelle referater
Mennesker og adfærd: træning, onboarding og offboarding
Selv med gode værktøjer og kontrakter kan tavshedspligt falde på menneskelige fejl. Flere analyser peger på, at en stor del af sikkerhedshændelser skyldes menneskelige svigt, og derfor skal træning være en del af driften, ikke en engangsøvelse.
Træning virker bedst, når den er tæt på hverdagen: “Hvad gør jeg, når en leverandør beder om hele kundelisten?” eller “Må jeg sende det til min private mail for at arbejde i weekenden?”. Det er konkrete situationer, der udløser brud.
Lav også en enkel onboarding- og offboarding-tjekliste til projektet. Onboarding bør sikre, at nye deltagere forstår klassifikation, kanaler og delingsregler. Offboarding bør sikre, at adgange lukkes, ejerskab flyttes, og delte links gennemgås.
Når noget lækker: en rolig og kontrolleret reaktionsplan
Du får sjældent en perfekt situation, hvor alle fakta er klare fra start. En god reaktion handler om at begrænse skade, sikre sporbarhed og få styr på kommunikation.
Når der er mistanke om brud, kan du bruge denne enkle rækkefølge:
- Stop spredning: Fjern adgang, træk delingslinks tilbage, luk møderum og kanaler ved behov
- Sikr dokumentation: Notér tidspunkt, hvem der havde adgang, og hvad der kan være delt
- Vurdér type af information: Persondata, forretningshemmelighed, kontraktforhold eller intern information
- Inddrag de rigtige roller: It-sikkerhed, DPO/jura, ledelse, kundeansvarlig afhængigt af situationen
- Ret op i processen: Find årsagen, og justér regler, rettigheder eller træning, så det ikke gentager sig
Det er ofte her, projektlederens disciplin viser sig: Du skaber struktur, også når der er pres, og du undgår “panikdeling” af halve informationer.
Et projekt kan godt være åbent og fortroligt på samme tid
Mange projektteams vil gerne arbejde transparent, og det er som regel sundt. Fortrolighed er ikke det samme som hemmelighedskræmmeri. Det er en bevidst styring af, hvad der deles med hvem, så teamet kan samarbejde effektivt uden at udsætte organisationen for unødige risici.
Hvis du tager klassifikation, kontrakter, adgangsstyring og vaner seriøst fra dag ét, bliver tavshedspligt ikke en tung byrde. Det bliver en fast del af projektets kvalitet, på linje med scope-styring, risikolog og ændringskontrol.
— Du kan få dem tilsendt herunder! —
