data

Vi er alle sammen bare ét nummer i systemet. Vi står alle sammen oplistet i systemet et eller andet sted. I et Excel-ark, i et støvet arkivskab eller i et ringbind nede hos kommunen. I år er det 50 år siden, at cpr-registret så dagens lys. Dermed blev vi alle unikke med vores fødselsdato efterfulgt af en unik, firecifret talkombination. Det er næppe for at fejre Det Centrale Personregisters runde fødselsdag, at EU senere på foråret indfører bødekrav og skærpede krav til dokumentation af databeskyttelse. Men snarere for, at vores data forbliver unikke og private ved at skærpe beskyttelsen af dem.

Det er i hvert fald én af grundtankerne i EU's nye persondataforordning, der træder i kraft i alle EU-lande fra 25. maj 2018 og sørger for ensartede regler for databeskyttelse i EU.

Hvad er en forordning?

Den nye persondataforordning erstatter EU's databeskyttelsesdirektiv fra 1995. EU kan til tider virke som lidt af en lovjungle. Men forskellen på et direktiv og en forordning er faktisk ikke så snørklet igen. Forskellen er, at direktivet kun er en overordnet ramme, som medlemslandene selv kan tilpasse til deres egen lovgivning.

I Danmark afspejler direktivet sig i Persondataloven. En forordning derimod er en lovpakke, som bliver implementeret direkte i nationalstaternes lovgivning med kun få justeringer tilladt for det enkelte land. Dermed bliver reglerne for databeskyttelse i høj grad de samme inden for EU eller harmoniserede, som det hedder på EU-jargon.

Én af de danske justeringer er blandt andet, at staten kan give bøder til egne offentlige institutioner, når forslaget med stor sandsynlighed bliver vedtaget i Folketinget til april.

Skærpede krav til dokumentation

Det nye for HK Stat-medlemmer og andre offentligt ansatte er, at forordningen stiller skrappere krav til dokumentation af databeskyttelse. I praksis betyder det, at man ude på arbejdspladserne skal dokumentere til hvad og med hvilket formål, man bruger borgernes data. I praksis betyder det, at man skal formålsbeskrive, hvad man fx bruger en borgers cpr-nummer til, og hvordan man opbevarer disse data, der i høj grad kan identificere en person.

Læs også: Bliv digitalt bevidst med ny videreuddannelse

Både i de gamle og nye regler står der, at brugen af folks data skal være lovlig, nødvendig proportional mellem formål og følsomhed, ajourført og slettes, hvis de ikke længere skal bruges. Om man efterlever de principper skal også dokumenteres.

- Dokumentationskravet er det nye. Vi skal vise og dokumentere, at vi opfylder behandlingsprincipperne i alle vores aktiviteter med borgernes data. Eksempelvis skal vi kunne redegøre for formålet med brugen af noget bestemt data, siger jurist og ph.d. i privatlivsbeskyttelse og partner i Carve Consulting Birgitte Kofod Olsen.

- Man skal kunne dokumentere, at man overholder reglerne, hvis Datatilsynet kommer på uanmeldt besøg. Men også hvis der er en kunde, borger eller medarbejder, der klager over databehandlingen. Så kræver forordningen, at vi giver indsigt og dokumenterer over for de involverede, at kravene til databeskyttelse bliver opfyldt.

HK Stat: Bed om retningslinjer

Hos HK Stat er man også opmærksom på den nye forordnings indtog på de statslige arbejdspladser. Faglig konsulent i HK Stat Daniel Faber Threms fortæller, at forordningen stiller større krav til medlemmerne på de statslige arbejdspladser. Han opfordrer derfor til, at man beder om klare instrukser fra sin arbejdsgiver.

- Det er arbejdsgiveren, der er den dataansvarlige og dermed også ansvarlig for, at der klare retningslinjer for, hvordan man skal agere som medarbejder i de nye regler. - Forordningen stille større krav til medarbejderne. Derfor skal man søge instrukser og være enige om arbejdsgangene, når man arbejder med data, siger Daniel Faber Threms.

Staten skal give sig selv bøder

Står det til et bredt flertal i Folketinget, vanker der bøder i millionklassen til offentlige institutioner og myndigheder, hvis ikke de overholder reglerne. Én af de få ting fra EU-forordningen, som landene selv må justere, er, om offentlige institutioner skal være omfattet af bødeordningen.

I oktober sidste år bekendte justitsminister Søren Pape Poulsen (K) kulør til det spørgsmål ved at tage initiativ til Databeskyttelsesloven. En supplerende lovpakke til persondataforordningen. Heri fremgår det, at statens tilsynsmyndighed på området, Datatilsynet, får til opgave at holde opsyn og stange bøder ud til andre statslige myndigheder på op til 16 millioner kroner, hvis ikke der er styr på datasikkerheden.

Ifølge Birgitte Kofod Olsen kan bøden, eller dele af den, ikke sendes videre til den enkelte medarbejder. Ifølge forordningen er det arbejdsgiveren, der er dataansvarlig. Såfremt en medarbejder skulle komme i klemme, er det de almindelige ansættelsesretlige regler, arbejdsgiveren kan gøre brug af.

Justitsministerens initiativ har endnu ikke været til afstemning i Folketingssalen, men det ventes vedtaget til april med et bredt flertal. Hidtil er det kun De Radikale og Dansk Folkeparti som i Folketingets Retsudvalg har udtrykt betænkeligheder ved forslaget.

Faglig konsulent i HK Stat Daniel Faber Threms erkender, at bøder til offentlige institutioner lægger et ekstra pres på de ansatte i staten, selvom han dog tvivler på bødeordningens virke i praksis.

- Set fra et borgerperspektiv er det en logisk retsfølelse, at også de offentlige myndigheder kan få bøder, hvis ikke de beskytter vores data. Men hvordan man vil administrere at give bøder til offentlige institutioner og myndigheder, som er finansieret af staten selv – det har jeg svært ved at se.

- Trækker man så bøden i næste års bevilling, og kan det så betyde, at der skal afskediges medarbejdere, fordi man har fået en bøde? siger Daniel Faber Threms.

Datakulturen skal under lup

Jurist og ph.d. i privatlivsbeskyttelse Birgitte Kofod Olsen oplever i høj grad, at man ude hos de offentlige myndigheder ser persondata som en resurse fremfor følsomme oplysninger om den enkelte borger. Ifølge ånden i forordningen tilhører dataene kun borgeren selv. Og det er uanset, om der er tale om særligt personfølsomme data, som fx etnisk baggrund eller medlemskab af en fagforening og almindelige persondata som fx privatøkonomiske forhold, tilhører det ingen andre end borgeren selv.

Dette afspejler sig i forordningens artikel 17, som påpeger at personfølsomme data skal slettes af databehandleren, hvis de ikke længere skal bruges til det oprindelige formål, de blev indsamlet til. Eller hvis de ikke opfylder nogle af de andre behandlingsprincipper som fx lovlighed, nødvendighed og proportionalitet.

På trods af forordningens hensigt om at skærpe databeskyttelsen maner Birgitte Kofod Olsen til, at der skal ske en stor kulturændring i omgangen med data i Danmark, hvis forordningens principper skal udfolde sig i praksis.

- Data er noget, vi låner af borgerne. Det er ikke vores. Vi kan ikke bare gøre med det, hvad vi vil. Vi kan bruge det til vores opgaver, hvis der er et nødvendigt formål. Og det er det. Det skal gøres til en naturlig tankegang i databehandlingen, at man gør det klart, om der et relevant formål. Og videregiver man oplysninger, skal man også fortælle det til borgeren.

For at få skabt en ny og forbedret datakultur, kræver det ifølge Birgitte Kofod Olsen masser af undervisning i form af kommunikation og kampagner, der skal få os til at diskutere, hvordan vi beskytter data mest effektivt. På den måde kan databehandling også blive værdiskabende.

- Nogle af de redskaber, der også indgår i forordningen, er mulighederne for at bruge anonyme data til analyse og statistiske formål. På den måde kan man fx aflæse mønstre i større gruppers adfærd, uden at det skader den enkeltes databeskyttelse, siger hun.