Beskytteren får en ny nøglerolle

Endnu en ny engelsk stillingsbetegnelse dukker pludselig op i jobannoncerne. Det ser ud som om, alle skal have en Data Protection Officer. Ingen ved dog med sikkerhed, hvad denne nye figur skal lave i virksomheder og offentlige myndigheder.

Selv vuggestuer, andelsforeninger og sportsfiskerforeninger med med-lemskartoteker får måske brug for rådgivning af sådan en, så de kan overholde reglerne i EU’s forordning om beskyttelse af folks personlige oplysninger. Deres personnumre, deres adresser, medlemskab af fagforeninger, sygejournaler. Alt, hvad der kan henføres til det enkelte menneske.

Reglerne er ikke nye, men de kolossale bøder er.

Fra 25. maj kan en virksomhed rammes af en bøde på mellem to og fire procent af dets globale omsætning. Tal som får erhvervslivet til at skælve, men offentlige myndigheder kan også få bøder.

Derfor er der nu vild efterspørgsel på Data Protection Officers, på dansk; databeskyttelsesrådgivere. Derfor opruster Datatilsynet med 80 interne projekter og ansætter flere folk til at kontrollere, at reglerne bliver overholdt. Og derfor er presset efter kurser i persondataret på Københavns Universitet steget markant. Før betragtede man faget som et blødt fag, der tiltrak flest kvindelige studerende. Nu fylder mænd halvdelen af pladserne.

Spørgsmålet, der melder sig, er først og fremmest: Hvem er denne Data Protection Officer?

Han eller hun kan have en hvilken som helst uddannelse, men forordningen går for at være lang og indviklet, nærmest umulig at læse for almindelige mennesker: Pilen peger på juristerne.

”Nogle virksomheder vælger en person med IT-baggrund, men jeg tror, at man i otte ud af ti tilfælde vil gå efter en jurist,” siger Charlotte Jul Rafn, compliance officer i Gjensidige Forsikring. Hun har lige været med til at ansætte forsikringsselskabets nye DPO, som havde første arbejdsdag i december.

”Og finder man ovenikøbet en jurist med IT-retlig forståelse, så har man fundet guldet.”

En slags ombudsmand

Databeskyttelsesrådgiveren skal udfylde en særlig rolle ud over selve funktionen som ledelsens rådgiver. Vedkommende er nemlig også kundernes, borgernes og Datatilsynets mand eller kvinde. En slags ombudsmand, der rapporterer til Datatilsynet og beskytter kundernes og borgernes personoplysninger og på den måde er omringet af interesser.

Kunden eller borgeren skal give sit udtrykkelige samtykke, inden virksomheden må behandle oplysninger om personen. Kunden kan også kræve at få at vide, hvad der sker med oplysningerne, og bagefter forlange at få dem slettet eller udleveret, så man fx kan tage oplysninger med sig hen til et andet forsikringsselskab eller til en anden internetudbyder. De rettigheder går ofte stik mod virksomhedens eller myndighedens interesser.

Med andre ord vil der helt sikkert opstå situationer, hvor databeskyttelsesrådgiveren kommer til at føle sig fastklemt mellem modsatrettede krav. 

”Som databeskyttelsesrådgiver skal man sætte sig grundigt ind i sin rolle og forstå, at man som uafhængig person ikke må komme i interessekonflikter,” siger Nicolai Gjerlev Andersen og henviser til forordningens krav. Han startede som DPO i Sydbank i oktober 2017 og var før HR Legal Specialist i Danfoss inden for arbejds- og ansættelsesret – et juridisk område gennemsyret af personoplysninger.

Som ny i jobbet har han brugt den første tid på at forstå forretningen Sydbank, lært alt om produkter, kunder, arbejdsgange og processer, som han skal beskrive og dokumentere i rapporter til den dag, Datatilsynet kommer på uanmeldt besøg eller sender en mail og beder om at få materialet udleveret.

Forretningsforståelse er uhyre vigtig, understreger både Nicolai Gjerlev Andersen og Charlotte Jul Rafn, både af hensyn til kunderne og de forslag, man stiller til ledelsen. De skal være realistiske.

”Hos os vil en god DPO byde ind med idéer til, hvordan vi lever op til -reglerne,” siger Charlotte Jul Rafn.

”Men det er også en udadvendt person, der kan tale med mange forskellige mennesker og undervise medarbejderne i, hvilke rettigheder kunderne har, og i det hele taget få skabt en opmærksomhed og forståelse for GDPR (General Data Protection Regulation, red.) i organisationen.”

Råd til en kommende kollega

Data er for vidensamfundet, hvad olie var for industrisamfundet. Og inden længe vil de fleste virksomheder formentlig håndtere alle oplysninger om kunderne med en langt højere grad af automatik. Derfor hører det også med til databeskyttelsesrådgiverens opgaver at være med til at beslutte, hvilke IT-systemer virksomheden skal bruge.

Både IT-sikkerhed og konkret fysisk sikkerhed som adgangskontrol, indretning af kontorer, så kun visse personalegrupper har adgang, og så computerskærme for eksempel ikke kan ses af forbipasserende, er krav, som også følger af forordningen. Den overlader det til virksomhederne at udfylde rammerne.

Dette – og den omstændighed at de nationale datatilsyn i EU’s 27 medlemslande i vidt omfang selv skal fortolke reglerne – vil uden tvivl resultere i mange forskellige måder at gøre tingene på. Man kan derfor også forvente en række retssager, afhængig af hvor aggressivt tilsynene farer frem. Derfor er spørgsmålet også: Hvad vil DPO’en råde en kommende kollega til?

”Af hensyn til uafhængigheden skal man sørge for ikke at komme i en situation, hvor man kontrollerer tiltag, man selv har været med til at sætte i gang,” siger Nicolai Gjerlev Andersen.

”Man skal være i stand til at påtale ting, som forretningen ikke altid har lyst til at høre. Det kræver en person, der tør stå ved sine vurderinger.”

Charlotte Jul Rafn – der som compliance officer arbejder tæt sammen med den nye databeskyttelsesrådgiver – understreger, at arbejdet er meget selvstændigt: Man er specialisten på området og derfor den, som organisationen vil vende sig til for at få svar. Hun siger:

”Da vi for nylig søgte en til stillingen, var der mange nyuddannede, der har skrevet specialer om persondatabeskyttelse med fine papirer og karakterer, men jeg kan slet ikke se en nyuddannet for mig i en så tung og forholdsvis krævende stilling. Ikke hvem som helst kan være DPO. En anden vigtig ting er, at man selv skal synes, at beskyttelse af personoplysninger er vigtigt; at man i hjertet føler, at det er en vigtig disciplin, og at vi som selskab passer godt på kundernes oplysninger og kun bruger de oplysninger, der er nødvendige.”

Begge pointerer, at rådgiveren også skal være en god formidler: Ledelsen skal løbende informeres, medarbejderne undervises, arbejdsgange skal nøje beskrives, risikoanalyser og konsekvensanalyser formuleres, så det står fuldstændig klart, hvad der for eksempel sker i tilfælde af sikkerhedsbrist, når alle kunder eller borgere har krav på at blive underrettet direkte. Nicolai Gjerlev Andersen råder desuden en kommende kollega til at interagere med andre faggrupper i organisationen, for man kan ikke udføre opgaven uden bred opbakning.

”Og så er det en god idé at interessere sig for teknologi. At tage alle de IT-kurser, man kan.”

Et tillidsprojekt

Odense Kommunes DPO fra 1. oktober 2017 hedder Morten Hougaard, og han er ikke jurist. Inden Odense var han digitaliseringskonsulent i Faaborg Kommune og kommer i øvrigt med en baggrund i forsvaret.

”En af mine første opgaver er at få skabt opmærksomhed helt ud i den spidse ende,” siger Morten Hougaard.

”Det her er jo grundlæggende et tillidsprojekt og et gennemsigtighedsprojekt. Folk skal forstå, at personoplysninger er borgernes og ikke kommunens, og derfor skal vi også sørge for at få de varme hænder med. Dem der arbejder med noget helt andet og opfatter reglerne som meget tekniske og juridiske og bureaukratiske. Det handler derfor i høj grad også om at få skabt systemer, der er tilgængelige og lette at komme ind og ud af.”

Morten Hougaard pointerer, at databeskyttelsesrådgiveren nødig skulle opfattes som en hindring, men som en, der sammen med ledelsen definerer risici og tilvejebringer de nødvendige redskaber til at løfte opgaven.

”Så den enkelte medarbejder på en betryggende måde kan arbejde og håndtere data med mindst mulig risiko for at kompromittere borgeren.”

---

Få mere viden om databeskyttelsesrådgivning:

Persondataforordningen i praksis. Databeskyttelsesforordningen og den nye persondatalov. Djøf kurser

Justitsministeriet og Datatilsynet har udarbejdet en række vejledninger om de nye regler.