Du er her
14. maj 2018

Databeskyttelsesrådgiver på gymnasium: “Det er sgu’ en god forordning”

Mængden af dokumentation og papirarbejde er massivt. Men det giver god mening, for med arbejdet følger også et bedre overblik og mere sikre rutiner, siger en af de første databeskyttelsesrådgivere på landets gymnasier.
Af: Andreas Rasmussen

Igennem 35 år fløj Palle Grønbæk rutefly for blandt andet SAS, men en dag stod ryggen af. De mange lange dage i cockpittet havde slidt på ham. Han navigerer fortsat, men jetmotorer og uniformen er erstattet af sikkerhedshåndbøger og dokumentationskrav. Palle Grønbæk er nemlig blevet databeskyttelsesrådgiver.

“Kvalitetssikring, dokumentation og awareness om sikkerhed er jo noget, jeg har fået ind med modermælken som pilot. Derfor meldte jeg mig selv, da vi skulle bruge en databeskyttelsesrådgiver. Det falder mig helt naturligvit at bruge de gamle kompetencer.”

Den 25. maj træder EU’s nye persondataforordning i kraft. Det betyder, at reglerne om beskyttelse af personfølsomme oplysninger bliver skærpet drastisk. Blandt andet skal mange virksomheder og institutioner have en data protection officier (DPO), eller på dansk: databeskyttelsesrådgiver.

Læs: Gymnasierne er (næsten) klar til ny persondataforordning

Fra lufthavnen til it-kontoret
Da ryggen sagde fra fik Palle Grønbæk et fleksjob som blæksprutte på it-kontoret på Frederikshavn Gymnasium & HF-kursus. Der har han været i fire år. Da persondataforordningen blev vedtaget for to år siden, var det derfor naturligt, at han kom med i den lokale arbejdsgruppe på området.

“Vi var en håndfuld nordjyske gymnasier, der gik sammen for at få lavet en rapport fra Kammeradvokaten om, hvad kravene konkret betød for os, og hvad vi skulle gøre for at leve op til dem. De lavede en pædagogisk rapport, hvor hvert punkt var forsynet med en rød, gul eller grøn hængelås. Vi fik stort set kun gule og røde,” griner han.

For især papirarbejdet er et helt nyt område.

“Min opfattelse er, at gymnasierne har håndteret persondata godt og ansvarligt, men at forholde det til en lovtekst er jo noget helt andet. Der er mange nye regler, og især de omfattende dokumentationskrav er den helt store hurdle for at kunne leve op til forordningen,” siger han og giver et eksempel:

“Tidligere kunne man spørge i et klasselokale, om der var nogen, der ikke ville være med på et foto, og så var det et stiltiende samtykke, hvis ingen sagde nej. Det kan man jo slet ikke i dag.”

Han understreger, at gymnasierne efter hans opfattelse hele tiden har taget databeskyttelsen seriøst:

“Jeg synes bestemt, gymnasierne hidtil har håndteret personlige oplysninger ansvarligt, men nu skal vi dokumentere det hele og være fuldstændigt klar over hvor vores data er. En elev eller en lærer skal kunne gå ind på kontoret og sige: “Jeg vil vide, hvor mine data er”, og så skal gymnasiet kunne præsentere en samlet liste over de data, skolen har om eleven, hvor de er henne, hvem der har adgang til dem, og hvor længe de opbevares.”

Lang proces
Efter Kammeradvokatens rapport blev de mange områder, der skulle ændres, uddelegeret blandt gymnasierne, der hver især gik hjem og forsøgte at kortlægge deres hidtidige procedurer. Resultatet samlede Palle Grønbæk i en håndbog.

“Processen var, at vi først kortlagde, hvad forordningen krævede. Derefter kortlagde vi, hvad praksis så reelt var, og til sidst lagde vi en plan for at få de to ting til at matche,” fortæller han.

I januar blev han derfor ansat som databeskyttelsesrådgiver for ti nordjyske gymnasier. En af de første arbejdsopgaver var at introducere medarbejderne til de nye regler og til ham selv.

“Jeg har været ude og holde kurser for alle medarbejderne på alle gymnasierne i samarbejdet om, hvordan de skal forholde sig. Det er vigtigt, at de ved, at jeg er en uvildig rådgiver, de kan henvende sig til, og at jeg ikke er en del af hverken ledelsen eller Datatilsynet,” fortæller Palle Grønbæk.

For lærerne handler forordningen først og fremmest om at skifte mindset.

“Man skal have awareness. Man skal hele tiden tænke: Nu står jeg med oplysninger fra eleverne, hvad gør jeg med dem? Hvad ville jeg selv gerne have, at andre gjorde, hvis det var mine oplysninger?” siger han og uddyber:

“Det kræver en kulturændring. Det er ikke noget, der er klaret med et kort kursus. Det skulle gerne blive noget, man ikke skal anstrenge sig for at huske, men noget der bliver en naturlig del af ens praksis: At man ikke lader personfølsomme papirer ligge og flyde, og at man låser skærmen på sin computer, når man forlader lokalet.”

Fornuftig forordning
Den tidligere pilot understreger flere gange, at selvom dokumentationskravet og papirarbejdet er omfattende, så er han meget enig i indholdet af forordningen.

“Virkeligeheden har vist, at den er nødvendig. Det er sgu en god forordning. Når vi er færdige med dokumentationsprocessen, så tror jeg, at alle synes, det er en nødvendig forordning, for det giver et stærkt overblik over vores data, og hvordan vi bruger det,” siger han og giver et konkret billede:

“Personlige oplysninger er en persons ejendom og identitet, og det skal håndteres ordentligt. Hvis man låner sin bil ud, så vil man gerne have, at den bliver behandlet ordentligt, man vil gerne vide, hvornår man får den igen og sikre, at den ikke bliver lånt ud til andre. Sådan er det også med ens personlige oplysninger.”

Adspurgt om han føler sig klar til 25. maj, tøver Palle Grønbæk lidt og griner så:

“Det er en proces, der er startet og skal fortsætte langt ind i fremtiden. Men vi er klar med al dokumentation og procedurer, men dermed ikke sagt at det ikke skal redigeres fremadrettet.”

 

 

Kommentarer

0
You must have Javascript enabled to use this form.