Engang var det helt normal rutine i kommunale forvaltninger, at man med jævne mellemrum – og minimum en gang om året – gik i arkivet og gennemgik sagsmapper. Alle mapper, der ikke var rørt ved i for eksempel fem år, blev derefter makuleret. Med den omfattende digitalisering er personlige oplysninger ikke længere noget, der i samme omfang er gemt i stribevis af hængemapper i arkivskabe.

- Med de mange it-systemer er data blevet usynlige. Det betyder, at man ofte glemmer at få ryddet op og slettet oplysninger, senest når de er for eksempel fem eller ti år gamle, siger databeskyttelsesrådgiver Pia Dalsgaard Pehrsson, Favrskov Kommune.

Hendes titel er et af de nye tiltag i databeskyttelsesforordningen, for alle kommuner og regioner skal nu have en databeskyttelsesrådgiver, som sikrer, at medarbejderne er klædt på til at håndtere persondata. Men i hendes øjne er der egentlig ikke meget andet nyt i EU’s forordning, der træder i kraft 25. maj. 

- Den nuværende lovgivning, Persondataloven, dækker langt hen ad vejen det samme. Hvis man har opfyldt kravene i den og i den tilhørende sikkerhedsbekendtgørelse, er databeskyttelsesforordningen ikke så stor en mundfuld. Men Persondataloven har været en lidt hemmelig lov eller i hvert fald en lov, som man ikke har fulgt 100 procent. Det er nyt, at man kan få bøder, hvis man ikke overholder forordningen, men det er jo ikke noget, der i sig selv betyder ekstra arbejde for os, der håndterer personoplysninger.

Hun understreger, at der ikke indtil nu er blevet sjusket med data, og at det it-mæssige setup faktisk fungerer ret tilfredsstillende med hensyn til sikkerhed.

- Udfordringen er de mennesker, der sidder bag tastaturet. Og det gælder for eksempel, når det drejer sig om at sørge for, at forældede data bliver slettet.

KORREKT JOURNALISERING ER EN HK-KUNST

Hvis man arkiverer sine data på den rigtige måde, er man godt hjulpet i forhold til at overholde forordningen, mener Pia Dalsgaard Pehrsson. - Journalisering er en kunst, som vi HK’ere i høj grad mestrer. Vi har lært, hvordan man sikrer, at forældede data bliver slettet, og vi ved for eksempel, om oplysninger skal sendes til Rigsarkivet, før man sletter dem lokalt og så videre. Hvis man journaliserer korrekt, burde systemerne sikre, at meget af arbejdet med at overholde forordningen sker automatisk.

Hun har oplevet, at en del af kollegerne i Favrskov Kommune bliver overraskede, når de opdager, at forordningen ikke bare gælder følsomme persondata. Hun har forståelse for, at der hersker en vis forvirring omkring begreberne, fordi forordningen omtaler både almindelige og følsomme persondata. Dertil kommer Datatilsynets lidt uklare begreb «fortrolige personoplysninger». 

- Vi indsamler persondata mange forskellige steder. Her i kommunen er der over 300 systemer, der ikke altid kommunikerer med hinanden. Vi får også persondata i mødet med borgerne, over telefonen og i alle mulige online-løsninger. Vi skal i alle tilfælde kunne redegøre for, hvad vi bruger disse data til, hvem vi giver dem videre til, og hvornår de slettes.

Borgerne skal også have oplyst, at de kan kontakte mig som databeskyttelsesrådgiver, hvis de er utilfredse med håndteringen af deres data.

DE BORGERVENDTE FUNKTIONER PRIORITERES

I Teknik- og Miljøforvaltningerne arbejder man for eksempel med vejkoder og matrikelnumre. 

- Hvis man lige beder dem om et hurtigt svar, er det ikke medarbejdernes opfattelse, at de håndterer persondata. Men der er jo nogle ejere bag matrikelnumre, og der er mennesker bag en byggesag. Derfor skal disse data også behandles i overensstemmelse med EU’s forordning, fortæller Pia Dalsgaard Pehrsson. Hendes erfaringer er, at det samme gælder mange andre steder, hvor det i manges øjne virker ”helt uskyldigt” at indsamle oplysninger - For eksempel når man melder sit barn til en kantineordning på skolen, hvis man bliver skrevet på en liste over pårørende til beboere på et plejehjem, og når man booker et lokale i et kulturhus. Alle de steder, vi ikke betragte som egentlig sagsbehandling. Hun ser databeskyttelsesforordningen som en kærkommen anledning til at komme rundt og få italesat regler, der i mange tilfælde også har været gældende tidligere.

- Det er en mulighed for at få højnet vidensniveauet hos medarbejderne. Vi prioriterer at få de borgervendte funktioner klar til den 25. maj. Det er en stor opgave at få sikret, at borgerne får de rette tilbagemeldinger, hver gang vi beder dem om at give os deres data. Og så har vi endda ret godt styr på det her i Danmark. Jeg ville være mere bekymret, hvis jeg var græker eller italiener. 

 

Stor interesse for GDPR

I HK Kommunal har der været adskillige landsdækkende og lokale arrangementer om databeskyttelsesforordningen, og medlemmernes interesse har været meget stor. Det viste sig blandt andet ved en landsdækkende temadag i Odense 14. marts. Her deltog 275, men derudover var der en venteliste med flere hundrede interesserede.

En af oplægsholderne på temadagen, cand. jur. Birgitte Kofod Olsen, medstifter af tænkehandletanken Dataethics, og partner i Carve Consulting, kan man også få gode råd af på et webinar med titlen ”10 ting du skal vide om persondataforordningen”. Det afvikles 6. juni. Læs mere og tilmeld dig .

Kært barn …

Der er flere navne i spil, når det handler om de nye regler for håndtering af personoplysninger, der træder i kraft 25. maj 2018. Tiden vil vise, hvilken betegnelse der får den største udbredelse i den brede befolkning:

  • GDPR er forkortelsen for det engelske udtryk ”General Data Protection Regulation”. Hvis man vil signalere et vist insider-kendskab, er det den, man skal bruge.
  • DBR er forkortelsen for funktionen databeskyttelsesrådgiver.
  • Databeskyttelsesforordningen er den mest officielle, danske betegnelse. Det er nemlig den, Datatilsynet bruger. Foreløbig giver den langt færre resultater i en Google-søgning end ”persondataforordningen”.
  • Persondataforordningen eller ”EU’s persondataforordning” er udtryk, som skrivende stund et det mest ”folkelige”, hvis man bruger antallet af Google-søgningsresultater som målestok. Og så er der …
  • Databeskyttelsesloven, som er den særlige, danske lovgivning. EU har overladt til medlemslandene at lave særlige bestemmelser om blandt andet bødestørrelser. Loven er i skrivende stund på vej gennem Folketinget med planlagt 3. behandling den 3. maj 2018. Lovforslagets fulde navn er det mundrette ”L 68 Forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).”