Midttrafik: Vi har styr på persondataforordningen

Lone Litvak, der er gruppeleder for økonomi og kontrakter hos Midttrafik, har sammen med resten af direktionen valgt at outsource den nye DPO-rolle.
Michel Bloch Andersen
Midttrafik

Direktionen i Midttrafik har for nylig taget en rask beslutning. De vil ikke stå alene med at implementere EU’s nye reguleringer på dataområdet, GDPR.

Et af de nye krav fra EU’s side er nemlig, at virksomheder og organisationer skal udpege en Data Protection Officer – i daglig tale en DPO – som får til opgave at føre tilsyn med, at de nye regler overholdes. Der er tale om en helt ny funktion, og ingen kender endnu omfanget af arbejdet. Derfor har Midttrafiks direktion valgt at source opgaven ud af huset til Deloitte.

”Vi har valgt at source opgaven for at få struktur på hele implementeringen og sikre, at vi kommer alt igennem. For os kræver det mange ressourcer at etablere den nye DPO-rolle og sætte os ind i, hvad der forventes, at DPO’en kan. Vi kender ikke det fulde omfang af, hvad det vil sige at etablere en DPO endnu, og det vil vi gerne være på forkant med,” fortæller Lone Litvak, der er gruppeleder for økonomi og kontrakter hos Midttrafik.

De nye regler stiller virksomheder og organisationer til ansvar for at passe på det personfølsomme data, de ligger inde med. Reguleringen skal blandt andet sikre, at data ikke bliver spredt mere, end man som privatperson har givet tilladelse til.

Forordningen erstatter det tidligere EU-databeskyttelsesdirektiv fra 1995 og skaber en samlet databeskyttelseslovgivning, der gælder på tværs af alle 28 medlemslande. Retningslinjerne gælder fra den 25. maj 2018.

Bag om GDPR

Tirsdag den 15. december 2015 meddelte EU-institutionerne, at de var blevet enige om den endelige ordlyd i den nye forordning General Data Protection Regulation (GDPR).

Reguleringen er sat i verden for at sikre, at data ikke bliver spredt mere, end man som person har givet tilladelse til. Samtidig bliver virksomhederne stillet til ansvar for sikkerheden og for at sikre den data, de besidder. Som privatperson kan man tage ejerskabet af sin data tilbage og flytte den rundt blandt forskellige virksomheder efter ønske.

Forordningen erstatter det tidligere EU-databeskyttelsesdirektiv fra 1995 og skaber en samlet databeskyttelseslovgivning, der gælder på tværs af alle 28 medlemslande.

Retningslinjerne skal være implementeret inden den 25. maj 2018.

Personfølsomme data

Ligesom andre offentlige virksomheder ligger Midttrafik inde med mange personlige oplysninger, blandt andet gennem Rejsekortet og gennem faste aftaler såsom handicapbefordringer. Men også fra medarbejderne, der eksempelvis afgiver oplysninger i forbindelse med løn. Alt dette data skal opbevares og behandles i overensstemmelse med den nye forordning.

Selvom Midttrafik har flere dygtige jurister siddende til at sætte sig ind i de nye regler, blev arbejdet hurtigt for ressourcekrævende, fortæller Lone Litvak.

”Vi kom til at mangle timer i døgnet til at organisere og kontrollere, undersøge og følge op. Som offentlig virksomhed skal vi bruge meget mere tid på det, end vi tidligere har gjort.”

Desuden mente Lone Litvak, at der var brug for at tjekke it-systemet efter i sømmene. For som hun selv påpeger, handler GDPR om langt mere end paragraffer.

”Vi har brug for en udefra, der kan varetage alle de funktioner, som en DPO skal varetage. For det er ikke kun det lovgivningsmæssige, der er en del af DPO-forordningen, det er også det it-sikkerhedsmæssige. Vores udfordring har været, at vi mangler it-kompetencer i huset, og det har vi prioriteret at finde hjælp til,” siger Lone Litvak.

Mistillid i samfundet

Forordningen kommer i en tid, hvor stadigt flere borgere er opmærksomme på, hvor deres personlige data ryger hen, og hvad de bruges til. I medierne kan man læse om sager, hvor kundeoplysninger er solgt videre uden samtykke, og det er med til at svække tilliden til virksomheder og organisationer i samfundet, mener Lars Syberg, der er partner i Deloitte.

Senest har Facebookstifteren Mark Zuckerberg stået skoleret foran amerikanske kongresmedlemmer ved en høring. Der er tale om en sag, hvor op mod 87 millioner facebookbrugeres personlige data kan være lækket til det amerikanske analysebureau, Cambridge Analytica.

GDPR-forordningen peger direkte ind i denne debat, fremhæver Lars Syberg:

”Automatiseringer og digitale services er fundamentet for de fleste forretninger, og denne model er utroligt afhængig af brugernes tillid til, at deres data behandles ordentligt. Tilliden er i øjeblikket lidt på prøve på grund af de sager, man hører om i medierne,” siger han.

Og for offentlige organisationer er der mere på spil, end mange lige er klar over, tilføjer han:

”GDPR handler om de offentlige organisationers licens to operate. Hvis borgerne begynder at miste tilliden til de offentlige virksomheders databehandling, får man som offentlig virksomhed en kæmpe udfordring. Derfor bliver det endnu vigtigere nu at sørge for, at man datamæssigt ikke gør noget, der koster borgernes tillid.”

Ifølge Lars Syberg er det de færreste organisationer, som helt er parate til selv at køre DPO-services fra start.

”Vi kommer til at se mange, der vælger at få varetaget DPO-rollen eksternt i starten for at få kørt funktionen ind i organisationen. Efter et års tid kan man vælge at hjemtage opgaven, når man kender opgavens art og omfang,” siger han.

Hvad indebærer den nye forordning?

Retningslinjerne omhandler tre hovedkrav på databeskyttelsesområdet:

Udnævnelse af en databeskyttelsesrådgiver (DPO): Det er obligatorisk at udnævne en databeskyttelsesrådgiver, 1) når der er tale om en offentlig myndighed eller et offentligt organ, 2) når den dataansvarliges eller databehandlerens kerneaktiviteter består i at udføre aktiviteter, der kræver regelmæssig og systematisk overvågning af de registrerede i stort omfang, og 3) når en databehandlers kerneaktiviteter består i behandling af særlige kategorier af data og personlige oplysninger om strafferetlige domme og lovovertrædelser.

Retten til dataportabilitet: Dataansvarlige forpligtes til at give den registrerede sine persondata tilbage i et almindeligt anvendt, maskinlæsbart format eller til at overføre dem direkte til en anden dataansvarlig, hvis den registrerede ønsker det. Den dataansvarlige er forpligtet til at svare på anmodningen, uanset om svaret er positivt eller ej. Den dataansvarlige har kun ret til at afvise anmodningen, hvis denne har gyldige grunde til det.

Udnævnelse af den ledende tilsynsmyndighed: Den ledende tilsynsmyndighed skal stå for at koordinere tilsynsmyndigheders aktiviteter, når flere EU-lande er involveret. Enten fordi databehandleren er etableret i flere EU-lande, eller fordi det er sandsynligt, at dennes aktiviteter i høj grad vil påvirke registrerede i mere end ét EU-land.

Dette er blot et uddrag af den samlede forordning.

LÆS OGSÅ: Embedsmænd skal vende sig til nye digitale kollegaer

LÆS OGSÅ: Vores velfærd vil tage tigerspring med kunstig intelligens

LÆS OGSÅ: Digital transformation: Pilotprojekter og stærke partnerskaber baner vejen

Har du kommentarer til artiklen, eller har du ideer til andre emner, som vi bør behandle på Public Perspectives? Send os en mail her.