Mød altmuligmændene i GDPR og få tre gode råd

Alle kommuner skal have en databeskyttelsesrådgiver. Mød to af dem her, og få deres råd til at skabe en god sikkerhedskultur i hverdagen.

Af Bettine Romme Andersen 29/10/2019

Det er en relativ ny stillingsbetegnelse at være databeskyttelsesrådgiver i en kommune - også kaldet en DPO (Data Protection Officer). Det job blev aktuelt, da EU's databeskyttelsesforordning (GDPR) trådte i kraft i 25. maj 2018 og afløste persondataloven.

I Nordsjælland arbejder to DPO'er for syv kommuner, som er gået sammen om opgaven i stedet for at ansætte hver deres medarbejder.

Vi møder de to DPO'er, John Larsen og Jakob Sønderlund Sørensen, i Fredensborg, hvor de har deres base.

Hvad laver en DPO?

Databeskyttelsesrådgiverens rolle er både at yde rådgivning om overholdelse af persondataforordningen internt til kommunens afdelinger og medarbejdere, men også over for borgerne.

Det første år har for John Larsen og Jakob Sønderlund Sørensen handlet mest om at udarbejde procedurer, notater og vejledninger i forhold til GDPR internt i kommunerne. Men de to har også haft fokus på at skabe et godt samarbejde med de syv kommuners informationssikkerhedskoordinatorer.

- Vores arbejde veksler mellem generelle spørgsmål om for eksempel databehandleraftaler, og hvornår der er oplysningspligt, til meget specifikke spørgsmål fra kolleger om, hvornår de må gemme noget, og hvor længe de må gemme det, siger Jakob Sønderlund Sørensen, der er jurist.

Fra borgerne handler spørgsmålene mest om, hvorvidt de har ret til at få indsigt i deres oplysninger, og om kommunen har ret til at gøre, som de gør.

- Vi er en form for altmuligmænd inden for GDPR, fortæller han.

Stor spørgelyst på centermøder

Jakob Sønderlund Sørensen og John Larsen har det første år fokuseret mest på de medarbejdere, der arbejder i kommunens forvaltninger, borgerservice og jobcentre, da de håndterer mange personoplysninger i deres sagsbehandling.

- Vi har været med på en række centermøder, hvor vi giver medarbejderne en introduktion til, hvad vi laver, og hvordan de kan bruge os. Vi taler om, hvad databrud er, hvordan vi håndterer det, og hvordan man skal forebygge det, siger John Larsen, der har en it-baggrund.

Der er altid stor spørgelyst på den type møder, og de to DPO'er modtager efterfølgende også mange opfølgende spørgsmål fra medarbejdere.

- Det er vigtigt, at medarbejderne ved, at de ikke behøver at gå igennem deres informationssikkerhedskoordinator, men godt kan gå direkte til os. Det kan også være i forhold til kommunens behandling af deres egne oplysninger, siger Jakob Sønderlund Sørensen.

Sikkerhedsbrud er uundgåelige

Sikkerhedsbrud er et tema, som altid er på dagsordenen på centermøderne. Her lægger DPO'erne vægt på at fortælle, at det ikke handler om at have en nulfejlskultur, for det er urealistisk, men derimod at have en god procedure for at håndtere brud.

- Vi gør meget ud af at forklare, at det altid er bedst, at vi selv håndterer et sikkerhedsbrud, frem for at en borger eller en anden fortæller os om bruddet, siger John Larsen og fortsætter:

- Vi går aldrig efter personen, men efter bolden. Det handler om at blive klogere og lære af sagen, så vi opfordrer altid til, at man deler sin fejl med kollegerne, så de kan lære af den og måske undgå den i fremtiden, siger han.

Vi er glade for åbenhed om fejl

De to DPO'ere møder også stor forståelse i ledelserne, hvor man bakker op om, at der ikke skal være en nul fejls-kultur, fortæller Jakob Sønderlund Sørensen.

- Det er bredt accepteret, at der kan ske fejl, og det er langt bedre at komme frem med det i stedet for at putte med det, siger han og suppleres af kollegaen:

- Det er fuldstændig legalt at komme til os, hvis man mistænker sig selv for at have lavet et brud. Og man skal i hvert fald ikke gå og have ondt i maven over det. Vi er glade, når medarbejdere fortæller os om fejl, for så kan vi rydde op og informere de berørte parter, siger John Larsen.

Vil gerne længere ud i kommunerne

Selv om arbejdet den første tid har fokuseret mest på de sagsbehandlende medarbejdere, har de to DPO'er også rådgivet eksempelvis daginstitutioner.

- Vi har blandt andet rådgivet om brugen af billeder i daginstitutioner, hvor vi prøver at gøre det klart, hvornår der er behov for skriftligt samtykke, og hvornår der ikke er, siger Jakob Sønderlund Sørensen.

Og den slags arbejde ønsker de begge at gøre mere ud af.

- I forhold til børn har vi en særlig beskyttelsesinteresse, så det område vil vi gerne øge fokus på i 2020, siger Jakob Sønderlund Sørensen.

Er du interesseret i flere artikler som denne?

Viden På Tværs samler de gode erfaringer fra kommunerne.
Tilmeld dig det nyhedsbrev, som passer til dit arbejdsområde, og få viden om nye indsatser, erfaringer fra den virkelige verden og gratis værktøjer.

Syv kommuner sammen om to DPO'er

Nordsjællands Digitaliseringssamarbejde (NDS) består af syv kommuner: Hillerød, Frederikssund, Gribskov, Hørsholm, Halsnæs, Fredensborg og Helsingør.

De to DPO'er er ansat i NDS.

De syv kommuner har cirka 285.000 borgere og 25.000 ansatte tilsamme.

De hyppigste typer af persondatabrud
  • Mail med følsomme persondata sendes "usikkert" til borger.
  • Mail med persondata sendes til forkert modtager.
  • "For mange" personoplysninger i en mail til borger eller anden myndighed.
  • Uberettiget adgang (at en medarbejder fra en anden afdeling får adgang til persondata).