Kommunerne bør forberede sig til persondataforordningen nu

Kommunerne bør forberede sig til persondataforordningen nu

Siden januar 2012 har den kommende persondataforordning spøgt i kommunernes bevidsthed. For- ordningen vil inden for de næste par år erstatte persondataloven. Der har i perioder været usikkerhed om, hvorvidt forordningen ville blive vedtaget, og det har været diskuteret, om den skulle gælde for offentlige myndigheder, herunder kommuner. Denne usikkerhed er nu væk.
Det har været diskuteret om forordningen også skulle omfatte offentlige myndigheder, herunder kommuner. Forordningen bliver vedtaget, og den kommer også til at omfatte kommuner og andre offentlige myndigheder. Forordningen forventes at blive vedtaget omkring årsskiftet 2015/2016 og træder i kraft to år senere.
 
Nye forpligtelser
Persondataforordningen pålægger dataansvarlige kommuner en række forpligtelser, f. eks. en øget informationsforpligtelse og etablering af procedurer til håndtering af indsigtsanmodninger.
Men persondataforordningen bringer én ting med sig, som ofte overskygger den øvrige række af øgede forpligtelser for dataansvarlige, nemlig bødeniveauet. De forskellige udkast til den kommende persondataforordning opererer med bødeniveauer på op til 1 mio. EUR (EU Parlamentets op til 100 mio. EUR red.) for manglende overholdelse af persondataforordningen.
I dag har Datatilsynet ikke beføjelse til at udstede bøder til kommuner og andre offentlige myndigheder, hvis de ikke overholder persondataloven. Det har i praksis den konsekvens, at Datatilsynets hårdeste straf er at udtale kritik overfor de kommuner, som overtræder persondataloven, også selv om det sker flere gange. Den hårdeste straf er i virkeligheden offentliggørelsen af Datatilsynets afgørelser på tilsynets hjemmeside.
 
Svært ved at overholde persondataloven
Hvis man kigger på Datatilsynets hjemmeside, kan man se mange afgørelser som illustrerer, at kommunerne gennem de seneste år har haft vanskeligt ved at overholde den nugældende person- datalov. Afgørelserne spænder vidt fra forsendelse af følsomme oplysninger på ukrypterede forbindelser over manglende stikprøvekontrol af den log, som sikkerhedsbekendtgørelsen kræver, til manglende databehandleraftaler og utilstrækkelig autorisation. I mange tilfælde overtrædelser, som i fremtiden vil medføre store bøder, når de skal bedømmes efter persondataforordningen.
I foråret 2015 gennemførte advokatfirmaet Bech-Bruun en spørgeskemaundersøgelse om persondata og it-sikkerhed i den offentlige sektor. Undersøgelsen viste, at fire ud af 10 adspurgte offentlige organisationer og myndigheder prioriterer korrekt håndtering af personoplysninger højere i 2015 end i 2014. Et tal, der med al sandsynlighed stiger i de kommende  år.
 
Implementering nu
På nuværende tidpunkt gør de fleste kommuner sig formentlig overvejelser om, hvornår de bør påbegynde processen med at implementere persondataforordningen. Skal kommunen være ”first mover”, eller skal den lægge sig i slipstrømmen af andre kommuner og høste af deres erfaringer.
Det rette tidspunkt at begynde på at implementere persondataforordningen er lige nu. Selvom forordningen endnu ikke er endelig vedtaget, vil det være fordelagtigt at gå i gang med implementeringen af dele af forordningen, hvor indholdet allerede ligger fast.
 
Sådan kommer kommunerne i gang
Kommunerne bør allerede nu begynde at skabe sig et overblik over, hvilke personoplysninger der behandles i organisationen
– de såkaldte datastrømme. Det drejer sig både om personoplysninger om kommunens borgere, ansatte og andre samarbejdsparter.
Viden om omfanget af kommunens datastrømme vil gøre det muligt at lave en analyse af, hvor langt kommunen er fra at opfylde de kommende regler i persondataforordningen. Viden om kommunens datastrømme kan desuden danne grundlaget for den dokumentation af kommunens datastrømme, som kræves efter forordningen.
I forbindelse med arbejdet med at kortlægge datastrømme i en kommune vil der også blive skabt et overblik over de eksterne dataansvarlige og databehandlere, som kommunen videregiver eller overlader oplysninger til. Specielt i forhold til databehandlerne er det vigtigt at få et overblik over, om kommunen har indgået de lovpligtige databehandleraftaler med dem, som behandler personoplysninger på kommunens vegne, fx en leverandør af en fritvalgsydelse eller outsourcingparter, der tager sig af driften af et it-system. De aftaler, som mangler, eller som er utilstrækkelige, bør indgås eller ændres med det samme.
 
Topledelsen skal gå forrest
Ledelsesforankring er af afgørende betydning for et succesfuldt arbejde med kommunal implementering af persondataforordnin- gen. Derfor skal it-chefen i samarbejde med den juridiske chef allerede nu henlede kommuneledelsens (både kommunaldirektøren og kommunalbestyrelsen red.) opmærksomhed på de opgaver, som følger i kølvandet på vedtagelsen af persondataforordningen.
Forankringen af det arbejde, som konkret skal munde ud i kommunens implementering af persondataforordningen, bør foregå i en arbejdsgruppe sammensat så bredt som muligt i kommunen. Deltagerne kan f.eks. komme fra it-afdelingen, HR-afdelingen, juridisk afdeling og den afdeling, som er ansvarlig for udbud.
Arbejdet i gruppen kan give en ide om, hvor det er mest opti- malt at forankre arbejdet med persondata og herunder stillingen som databeskyttelsesansvarlig (data protection officer - DPO).
Det er endnu usikkert, om offentlige myndigheder bliver underlagt DPO-kravet i persondataforordningen. Uanset om offentlige myndigheder underlægges DPO-kravet eller ej, vil det være hensigtsmæssigt, at kommunerne i praksis forankrer arbejdet med persondata hos en person, DPO’en, som fremadrettet bliver omdrejningspunkt for al behandling af personoplysninger i kommunen. Det er ikke usandsynligt, at kommunens kommende DPO kan være at finde i arbejdsgruppen.

Fremtiden bringer flere krav til kommuners behandling af personoplysninger - opgaver som skal løftes, for at borgerne og de ansatte ikke mister tilliden til kommunens behandling af deres – i mange tilfælde meget følsomme – personoplysninger. Kommunernes opgave er at minimere risikoen for, at borgernes og de ansattes oplysninger behandles i strid med de persondataretlige regler, og dermed minimere risikoen for, at oplysninger havner hos de forkerte. Samtidig mindsker kommunen risikoen for at blive pålagt meget store bøder.
 
Jo før forberedelsen til fremtiden starter, jo lettere bliver det.