Hip hurra: Nu fylder gdpr-loven to år
Hip hurra: Nu fylder gdpr-loven to år
Der blev løbet hurtigt på landets rådhuse op til den 25. maj 2018. EU’s nye persondataforordning, gdpr, trådte i kraft, men langt fra alle kommuner var klar med låste kabinetter og databehandleraftaler.
- Det minder næsten om i dag, hvor vi er nødt til at løbe hurtigere på grund af corona. Dengang skulle vi indrette alle vores arbejdsgange efter de nye gdpr-regler og ændre på næsten alt.
Det fortæller Mogens Pedersen. Han er kommunaldirektør i Varde. For to år siden, var det en af de kommuner, der ikke var klar til datasikkerheds-deadlinen.
Det minder næsten om i dag, hvor vi er nødt til at løbe hurtigere på grund af corona.
DR kunne fortælle, at kommunen sammen med 40 andre ikke var nået i mål. I DR’s artikel sagde kommunaldirektør Mogens Pedersen, at lovens kompleksitet var medskyldig i, at de ikke var klar.
- Det er lidt specielt at svare nej til sådan et spørgsmål, for en offentlig myndighed skal selvfølgelig overholde love og regler ligesom alle andre. Man skal bare have forståelse for, at der er tale om et meget omfattende lovkompleks, og for Varde Kommune har det ikke været muligt at nå det, sagde han til DR i 2018.
To år efter er der styr på det
Men i dag er der styr på det. Og på trods af skrækscenarier om kæmpebøder til de kommuner, der ikke overholdt reglerne, havde Vardes kommunaldirektør ro i sindet. Han var ikke bange for, at kommunen ville blive straffet.
- Jeg har den tilgang, at hvis man beslutter sig for, at man vil overtræde straffeloven, skal man alligevel gøre sig umage for at få 16 års fængsel. Sådan har jeg det også med Datatilsynet. Vi har haft dem på besøg siden og har en god dialog om, hvordan vi får styr på det, vi mangler.
Hvis man beslutter sig for, at man vil overtræde straffeloven, skal man alligevel gøre sig umage for at få 16 års fængsel.
Datatilsynet var på tilsyn hos kommunen i sommeren 2019. Her udtalte de kritik af, at kommunen ikke havde styr på sine fortegnelser. Et begreb, der dækker over at klarlægge, hvem der behandler hvilke data hvordan og hvornår.
EU's persondataforordning
- EU's dataforordning (GDPR - General Data Protection Regulation) trådte i kraft 25. maj 2018.
- Forordningen viderefører den hidtidige persondatalov. Den indeholder samtidig en række nye og skrappere krav, som danske virksomheder, organisationer og myndigheder skal leve op til.
- Loven skal sikre, at persondata bliver indsamlet og opbevaret uden risiko for misbrug og på særlige betingelser. Det gælder oplysninger på nettet såvel som i interne systemer, dokumenter og arkiver.
- Med loven fik borgerne desuden bedre mulighed for at få indsigt i, hvem der har adgang til deres personlige oplysninger, og hvad de bruger dem til.
- Det er Datatilsynet, der fører tilsyn med, at persondataloven overholdes. Offentlige myndigheder, der ikke har styr på reglerne, kan straffes med bøde på op til 16 mio. kr.
Gladsaxe indstillet til kæmpebøde
Mens Varde indtil videre er gået fri fra de store bøder, har Datatilsynet trukket blokken op af lommen i Gladsaxe og Hørsholm.
Det skete for nyligt, knapt to år efter loven trådte i kraft. Årsagen er tyveri.
Kort efter 25. maj 2018 får en ansat i Gladsaxe stjålet sin arbejdscomputer. Den indeholder et dokument med oplysninger på 20.000 borgere. Og den er ikke krypteret. Datatilsynet indstiller i marts 2020 kommunen til at betale en bøde på 100.000 kr. for fejlen.
Rasmus Bækgaard er programleder for gdpr i Gladsaxe. Han husker tydeligt, at computer-tyveriet betød, at kommunen brugte ekstra ressourcer på at gdpr-sikre sig.
- Hændelsen gjorde, at vi alle, både ledelse og politikere, for alvor fik øjnene op for, hvor mange ressourcer, vi skulle bruge på gdpr-arbejdet. Vi har nu omkring 11 fuldtidsstillinger i kommunen, der kun arbejder med beskyttelse af persondata. Det er et meget omfattende bureaukratisk set-up, der skal til for at leve op til alle lovgivningskrav, siger han i dag.
Rasmus Bækgaard hilser dog reglerne velkomne, selvom de er ressourcekrævende at følge. Han mener, at gdpr-reglerne er en del af fundamentet for at have en høj grad af digitalisering.
Jeg tror, vi har 11 fuldtidsstillinger i kommunen, der kun arbejder med persondata. Det er en vanvittig bureaukratisk opsætning der skal til.
- Det er vigtigt at huske på, at reglerne fra EU’s side ikke er lavet for at få kommunerne ned med nakken, men for at sikre gennemsigtighed med, hvad borgernes data bliver brugt til. Vi er en kommune der gerne vil være ambitiøs, når det kommer til digitalisering, og gdpr er fundamentet for det hus.
Det rap, kommunen fik over nallerne, har ifølge Rasmus Bækgaard betydet, at kommunen tilstræber en endnu højere gennemsigtighed, end der er krævet.
- Vi lægger alle vores databrud offentligt tilgængeligt på vores hjemmeside. Så kan folk også se, at der i næsten alle tilfælde er tale om menneskelige fejl med meget små konsekvenser, siger han.
Databevidsthed
Kommunaldirektør Mogens Pedersen synes også overordnet, at gdpr-lovgivningen har tilført en persondatabevidsthed, som der før var forbeholdt it-afdelingen i kommunen.
- Der er kommet et andet fokus på datasikkerhed. Det betyder noget, vi er omhyggelige, når vi behandler borgeres data, og vi tager ansvar. Gdpr-lovgivningen har også betydet, vi er blevet meget mere bevidste om datamisbrug generelt. Jeg tror, der er kommet en folkelig erkendelse og bevidsthed, som rækker ud over kommunerne, og det er godt, siger Mogens Pedersen.
Han vurderer også, at arbejdet med gdpr og de bureaukratiske processer fylder mindst ti årsværk.
Fremtidens udfordringer
KL udgav i januar i år et benspændskatalog, der illustrerer mange af de udfordringer, kommunalt ansatte møder i arbejdet med gdpr. Det sker op til, at Justitsministeriet efter planen har sagt ja til at evaluere loven til efteråret.
Der er kommet et andet fokus på datasikkerhed. Det betyder noget, vi er omhyggelige, når vi behandler borgeres data, og vi tager ansvar.
Rasmus Bækgaard har et ønske til, hvad der vil gøre arbejdet med gdpr lettere i fremtiden.
- Som det er nu, skal hver kommune lave databehandleraftaler med hver leverandør. Også selvom leverandørerne leverer ens ydelser til kommunerne. Det vil være meget tidsbesparende, hvis der kunne hentes én national databehandleraftale med for eksempel KMD, der står for meget af det offentlige it. Så slipper vi for parallelarbejde, forklarer han.
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele Kommunen.dks artikler internet til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele Kommunen.dks artikler med personer, der ikke selv har et personligt abonnement på kommunen.dk
Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.
