KL: Stadig uvist hvad den nye forordning om persondata kommer til at indeholde

KL: Stadig uvist hvad den nye forordning om persondata kommer til at indeholde

Der er stadig uvished om, hvordan EU´s Persondataforordning lander. Chefkonsulent Pernille Jørgensen, KL, advarer kommunerne mod at implementere nye tiltag i den nye Persondataforordning før den er endeligt vedtaget. ”Der er stadig mange væsentlige områder, der kan ændre sig i 11. time,” siger hun.

Selvom Persondataordningen er tæt på at blive vedtaget,  er der så store meningsforskelle og forskellige interesser, der skal tilgodeses, at chefkonsulent Pernille Jørgensen, KL, mener, at kommunerne gør sig selv en bjørnetjeneste ved at begynde at implementere regler, som de endnu ikke kender den endelige formulering af.
Det nuværende luxembourgske formandskab har en ambition om at afslutte trilogforhandlingerne – altså forhandlingerne mellem EU-Kommissionen, Europa-Parlamentet og Ministerrådet - inden udgangen af 2015. Men Ministerrådets forslag til persondatabeskyttelse afviger væsentligt fra Kommissionens og Europa-Parlamentets forslag.
Bl.a. forslaget om ansættelse af en ”Data Protection Officer” mener Ministerrådet skal være frivilligt for de offentlige myndigheder. Og forslaget om udarbejdelse af obligatoriske konsekvensanalyser af it-systemerne, er det også forsat uafklaret hvordan de lander. Så tæt på deadline, mener KL, at der stadig er meget, der skal forhandles på plads, og at disse meget væsentlige områder – set med kommunernes øjne - kan nå at ændre sig i sidste øjeblik.
”Der er væsentlige ting, som kan ændre sig i de kommende forhandlinger i forhold til det forslag der ligger nu. Det bør kommunerne være opmærksomme på, når de bliver præsenteret for diverse kursustilbud om de nye regler i persondataforordningen. Og så skal vi jo heller ikke glemme, at fra forordningen er vedtaget – forventeligt primo 2016 – går der to år, før kommunerne skal have implementeret de nye regler. Så der ikke nogen grund til at piske en stemning op,” siger chefkonsulent Pernille Jørgensen, KL, som lige nu ser lidt for mange kurser, som vil undervise kommunerne i regler, som de endnu ikke kender udformningen af.
 
Persondataforordningen
EU´s persondataforordning vil, når den bliver vedtaget om kort tid, afløse det nuværende EU-direktiv fra 1995, og som den danske persondatalov i al væsentlighed bygger på. Forskellen på en forordning og et direktiv er, at medlemslandene ikke kan gå ind og lave nationale tilpasninger i en forordning. Derfor har KL og kommunernes europæiske interesseorganisation CEMR travlt med at påvirke forhandlingerne for at sikre, at forordningen i højest muligt grad tilgodeser kommunale forhold.
KL er ikke imod, at der kommer nye regler om beskyttelse af persondata. Men KL er skeptisk over for en række formuleringer i den nye forordning.
”Selvfølgelig skal vi beskytte persondata. Og her vil jeg gerne pointere, det gør vi allerede i dag. Det er klart, at den hastige digitale udvikling, hvor rigtigt mange data behandles, deles og sendes over internettet gør udfordringerne med databeskyttelse større og at disse udfordringer bør adresseres. Vi tror bare ikke på, at vejen frem er øgede, administrative krav til kommunerne. Dokumentations-kravet skal erstatte den nugældende anmeldelsesordning – og denne ordning har vi jo tydeligt set, blot er en stor ”papirtiger”, siger Pernille Jørgensen.
”Desuden har EU slet ikke tænkt den offentlige sektor ind, da man udformede forslaget til forordningen. Det betyder, at vi f.eks. støder på en regel om, at borgeren har ”ret til at blive glemt”
– altså at få slettet alle sine data. Sådan en regel hænger bare ikke sammen med dansk forvaltningstradition, hvor vi jo som myndighed er forpligtede til at kunne dokumentere vores sagsbehandling”, fortsætter hun.
Pernille Jørgensen siger, det giver rigtig god mening på et socialt medie, at en borger kan kræve at få slettet sine data, f. eks. fotos på et socialt medie.
”Men borgeren vil ikke kunne henvende sig til en kommune og kræve at få slettet data om sig selv i en kommunes sagsbehandling, da kommunen har pligt til at kunne dokumentere sagsbehandlingen,” siger Pernille Jørgensen.
 
Datagenbrug
En anden del af KL´s kritik af forordningen går på, at forordningen ikke har taget højde for de nye muligheder som digitaliseringen giver. Som et eksempel nævner Pernille Jørgensen begrebet ”datagenbrug”. Det er ifølge den nuværende lovgivning kun muligt i nogle situationer – og ud fra en konkret vurdering.
Men ”datagenbrug” er ”nøglen” til både at levere bedre service til borgerne og sikre en mere effektiv offentlig sektor. Både i den nye fælleskommunale digitaliseringsstrategi og den kommende fællesoffentlige digitaliseringsstrategi spiller datagenbrug en væsentlig rolle. Uden genbrug af data bliver det ganske svært at høste gevinsterne ved digitalisering. KL har derfor presset hårdt på, for at få datagenbrug afspejlet i forordningen, og det indgår nu i forhandlingerne om den endelige udgave af persondataforordningen.
Datafordeleren hos Digitaliseringsstyrelsen er en komponent i Grunddataprogrammet, hvor offentlige data stilles frit til rådighed. Hele formålet med Grunddataprogrammet er genbrug af data. Serviceplatformen hos KOMBIT er en adgang til services, som gør det lettere at få adgang til data og at dele disse.
 
Konsekvensanalyser
En rimelig stor ændring i den nye Persondataforordning sammenlignet med den nuværende persondatalov er ”konsekvensanalyser”. Hvis man ønsker et it-system, hvor der er risici forbundet med behandlingen af persondata, så skal kommunen lave konsekvensanalyser af den databehandling systemet vil udføre. Kommunen skal lave en beskrivelse af databehandlingen, hvilke risici forventer kommunen, der kan være ved dette, og hvilke modtræk vil kommunen gøre for at minimere disse  risici.
”Det lyder på papiret rigtig godt. Men i praksis er det en kæmpe opgave, hvor omkostningerne til at udføre opgaven, slet ikke står mål med nytteværdien. Vores vurdering er, at det ikke er pengene værd. Kommunerne har rigtigt mange systemer, der behandler persondata, og hvis vi skal gennemføre konsekven- sanalyser for hvert system – også selvom der måske kun bliver tale om analyser i forhold til nye systemer – vi taler om mange, mange mio. kr. til til konsekvensanalyser,” siger Pernille Jørgensen.
Ministerrådet har nu foreslået, at det bliver op til det nationale datatilsyn at vurdere, hvornår der skal udarbejdes konsekvensanalyser.
 
Awareness
KL slår til lyd for, at pengene bliver givet ud på andre områder. ”Når noget går galt i forhold til datasikkerheden i kommunerne
– hvad heldigvis sjældent sker – handler det typisk om medarbejdere, som ikke kender til – eller har glemt - reglerne i persondataloven og sikkerhedsbekendtgørelsen - med andre ord, at der ikke er tilstrækkelig kendskab til de regler, vi allerede har. Vi  synes derfor langt hellere, man skal bruge kræfterne og pengene på at opgradere kompetencerne hos de ansatte i kommunerne der arbejder med persondata, så der bliver mere awareness om persondatabeskyttelsen. Langt hen ad vejen har vi allerede i dag nogle fornuftige databeskyttelsesregler, som blot mangler at blive ”tunet” til de nye digitale muligheder som fx datagenbrug” slutter Pernille Jørgensen.