Københavns Universitets datageneral: Vi starter på en frisk med GDPR

Illustration: Lonnia/Bigstock
Det kan være noget hø at lave en databehandleraftale med universiteter i USA, siger Københavns Universitets databeskyttelsesrådgiver.

Når man skal gøre et universitet med 10.000 medarbejdere, 40.000 studerende og over 500 år på bagen klar til den største lovgivningsændring for persondata i årtier, starter man selvfølgelig med en problemformulering.

»Det er ikke så avanceret,« siger Lisa Ibenfeldt Schultz, der er databeskyttelsesrådgiver, også kendt som en DPO, ved København Universitet.

»Men i universitetsverdenen kan vi godt lide problemformuleringer.«

Læs også: Universiteter brygger på nationalt certifikat til forskere, der kan håndtere persondata

Med en skridttæller, der gløder på telefonen, turnerer Lisa Ibenfeldt Schultz lige nu rundt på KU’s seks fakulteter og knap 40 institutter for at indprente konsekvenserne af GDPR hos ledere og medarbejdere.

»Jeg føler mig lidt som en fisk i vandet. Men det kræver altså en hval, det her arbejde,« forklarer hun.

Formularer skal give overblik

Udgangspunktet for arbejdet – problemformuleringen – har været en række principper, der skal sikre, at det enorme arbejde med at blive klar til loven, ikke ender som en hensigtserklæring i en skuffe.

»Vi skal ikke købe et eller andet, som vi bruger i et halvt år og derefter glemmer. Vi skal have en forvaltning af reglerne, som lever i de systemer og processer, vi allerede har i dag.« siger Lisa Ibenfeldt Schultz og tilføjer:

»Så glider det ned af sig selv.«

I praksis har Lisa Ibenfeldt Schultz opdelt arbejdet i nogle klumper. For en stor del af arbejdet satser DPO’en på noget så simpelt som en formular integreret til KU’s ESDH-system.

Læs også: Kombit gør sig GDPR-klar med pokaler og plakater: Skab awareness uden panik

»En af de nye ting er, at vi skal lave fortegnelser. I dag skal man give akkurat de samme oplysninger i et skema til Datatilsynet. Nu skal man give dem til sig selv. Men Datatilsynet kan komme på besøg og bede om at se fortegnelserne,« forklarer Lisa Ibenfeldt Schultz.

Derfor udvikler KU en løsning med KMD's formular-værktøj XForms, som kan integreres direkte ind i ESDH-systemet Workzone. Formularen kan alle medarbejder hente og udfylde gennem KU's intranet.

»Så kan de sidde på Institut for Psykologi, udfylde formularen, trykke send og så er den gemt og journaliseret med det samme. Og jeg kan se alle de fortegnelser, vi har, inde i ESDH-systemet.«

Hver fortegnelse har også knyttet nogle metadata, så DPO’en let kan få det brede overblik over, hvilke databehandlinger universitetet laver.

Fra medarbejder til Datatilsyn

Samme formularløsning skal bruges af hvert enkelt forskningsprojekt, som ifølge de nye regler også skal have sin egen fortegnelse, og når universitet agerer databehandler for andre.

»For eksempel har vi samarbejder med regionerne, hvor regionen overlader data til os,« forklarer Lisa Ibenfeldt Schultz.

»Her bruger vi også formularen til at lave fortegnelser over, hvad vi laver med andres data.«

Læs også: Softwarefirma om GDPR: Vi skal finde på workarounds for at opfylde reglerne

Et andet nyt krav, som GDPR bringer til Danmark til maj, er pligten til at indberette sikkerhedshændelser til Datatilsynet indenfor 72 timer. Her har universitetet ligeledes lavet en formular, som medarbejdere skal udfylde om, hvad der er sket, hvis data kommer på afveje.

»72 timer er godt nok ikke lang tid,« siger Lisa Ibenfeldt Schultz og fortsætter:

»Min tanke er, at hvis vi kan få kollegerne til at udfylde formularen, så eksterne kan læse det, kan vi sende formularen direkte til Datatilsynet, og på den måde lette forløbet.«

Noget hø at få databehandleraftale fra USA

Arbejdet med GDPR har for Københavns Universitet ikke blot handlet om de nye krav, EU-loven rummer, men også at gøre status på, hvordan det går med at overholde de eksisterende regler – som fx kravet om databehandleraftaler.

»Vi har en del databehandleraftaler og nogle steder har vi glemt det. Nu starter vi helt på en frisk. Vi har lavet nye skabeloner og nu er vi gået i gang med at gennemgå, hvor Københavns Universitet får løst opgaver ude i byen. Der kommer mange sjove ting for dagen,« fortæller Lisa Ibenfeldt Schultz.

Læs også: Få styr på dine aftaler med databehandlere med ny guide fra Datatilsynet

Universitetet skal sørge for at have databehandleraftaler, hver gang der udveksles data i forbindelse med forskningssamarbejder med andre universiteter. Det går ifølge Lisa Ibenfeldt Schultz nogenlunde i Danmark og i EU.

»Men det er godt nok noget hø, når vi finder på at samarbejde om et forskningprojekt med et universitet i USA. Vi har stået i en situation, hvor et forskningsprojekt gik helt i stå, fordi der står i kommissionens standard-kontrakter, at databehandler overtager ansvaret hvis dataejer går konkurs,« fortæller Lisa Ibenfeldt Schult.

»Og det vil amerikanerne ikke skrive under på, selv om vi kan fortælle, at vi har eksisteret siden 1479. Standardkontrakterne er bygget til kommercielle formål, og det giver altså nogle problemer, som vi ikke har løst endnu.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

... med de problemer med at få lavet holdbare aftaler med USA, for dem har vi mange forskningsprojekter o.l. , som indbefatter følsomme persondata, med (eks. Sundhedsplatformen) .

Og:
"der står i kommissionens standard-kontrakter, at databehandler overtager ansvaret hvis dataejer går konkurs"

Hvad betyder det helt konkret? Det lyder lidt som om, at hvis dataejer går konkurs, så er ansvaret for vore følsomme data - som vi ofte har afgivet uden samtykke og viden - godt nok ude på dybt vand.

  • 6
  • 1
Mads Bendixen

Hvad betyder det helt konkret? Det lyder lidt som om, at hvis dataejer går konkurs, så er ansvaret for vore følsomme data - som vi ofte har afgivet uden samtykke og viden - godt nok ude på dybt vand.


Der findes dataansvarlig og databehandler i Persondataloven og GDPR, ikke dataejer. Folk skal stoppe med at bruge det udtryk.

Dataansvarlig og databehandler har i forvejen delt ansvar for behandlingen, så det er naturligt at databehandler overtager det fulde ansvar for behandlingen, hvis dataansvarlig forsvinder.

  • 0
  • 0
Hans Nielsen

Da man må formode at ingen i konkurs boet efterfølgende har ret eller adgang til data, da samtykke vel må forsvinde med opløsning af firma. Hvis det alligevel skulle være tilfældet, så må de være henvist til deres backup.

Så hvis jeg have ansvar for andres data. Så ville jeg slette det. for at være på den sikkert side, med hensyn til overholdelse af GDPR.

"Der kommer mange sjove ting for dagen,"

Ja det er godt, at der kommer bøder som firmaer kan forstå. Så meget nyt, at der skulle komme sjove ting for dagen. Betyder nok at man ikke har overholdt eller taget den game forordning alvorligt.

Vil også for mit eget vedkommen være forsigt med at stole på firmaer, uden for EU, vil næsten sige især USA. Da de har en god historik, for at misbruge data på alle mulige måder.
Det står man også selv på mål for nu. Da man ikke længere kan bruge den undskylning, at dem man har givet ansvaret for ens data, ikke har styr på det. Nu betyder det heldigvis, at begge parter så får en bøde.

Men jeg håber nu selv, at vi starter med hurtige bøder til de helt store, og det så efter følgende kun bliver givet børder til nogle få mindre virksomheder. - I første omgang. - så de som stadig tror, at det ikke vedkommer dem, får fingeren ud af *

  • 4
  • 0
Anne-Marie Krogsbøll

Tak for svar, Mads Bendixen.

Dataansvarlig og databehandler har i forvejen delt ansvar for behandlingen, så det er naturligt at databehandler overtager det fulde ansvar for behandlingen, hvis dataansvarlig forsvinder.


Men opstår der ikke derved det juridisk ingenmandsland, i det databehandler pludseligt bliver dataansvarlig og databehandler på en gang (og derved skal føre tilsyn med sig selv?). Og jeg vil da bestemt ikke bryde mig om, at en amerikansk databehandler pludseligt også er dataansvarlig for meget personfølsomme danske data - uden samtykke. Det er i forvejen uoverskueligt, at man anvender udenlandske databehandlere, når man i følge erfaringen ikke kan finde ud af at føre tilsyn - og i den nævnte situation - hvilke bånd er der så overhovedet tilbage til Danmark?

  • 0
  • 0
Hans Nielsen

Især samtykke kan da give dem lidt besvære ?

Når man installere Windows, må man formode at de sikkert sig at de får samtykke til indsamling af data under installationen og brugen.

Men når jeg efterfølgende vil fjerne installationen, data og samtykke. Så må MS sikkert sig, at alle de data som de har indsamlet fra min installation bliver fjernet.

Kan kun sige at jeg ikke vil sætte penge på , at der ikke hurtigt og snart kommer en 4% , til en af helt store :-)

  • 0
  • 0
Mette Buhl

Jeg syntes det er et utroligt snævert perspektiv at tage på et så stort område, som i virkligheden handler om at beskytte dine og mine data, og ikke om at kunne printe et stykke papir til tilsyn og eksterne.

Fortegnelsen er blot et element der gemmer sig i artikel 30, og som virksomheden ikke nødvendigvis får brug for, med mindre du bliver besøgt af diverse tilsyn.

Hvis det er det kom KMD udenlukkende tilbyder deres kunder, er jeg faktisk ikke særlig imponeret. Her havde jeg forventet et større fokus på helheden, altså kombinationen af det juridiske, tekniske og organisatoriske.

Der mangler fokus på essensen som handler om at kunne dokumentere at man har implementeret tilstrækkelige tekniske og organisatoriske foranstaltninger, op imod den risiko der er identificeret, for at sikre et passende sikkerhedsniveau. Det er bestemt ikke noget en fortegnelse kan gøre op med, og hvordan skal en fortegnelse sikre at min data er beskyttet?

I virkeligheden handler det om, at vi træder ind i en æra, som tvinger os til at tænke over, hvad data er, hvordan vi bruger data og hvilke konsekvenser brugen kan have for os. Det er vigtigt at vi skubber den virkelige agenda, som handler om data management og data kvalitet, som kan højne vores sikkerhed. OG at virksomheder tør at kigge indad og vurdere, om deres data er beskyttet tilstrækkeligt. De sikkerhedstiltag, som virksomhederne igangsætter, skal "passe" sammen med de vurderede risici - ikke for virksomheden, men for at beskytte dig og mig. Igen, hvordan vil en fortegnelse kunne gøre det?

Det er på tide, at vi allesammen tager ansvar, nytænker vores virksomheder og skaber den forandring, som fremtiden tegner!
Ikke bare om at lave nogle fortegnelser, som man faktisk bare kan putte i skuffen indtil der kommer nogen.

Datatilsynet kommer ikke forbi samtlige virksomheder, men skal da nok kigger nok forbi hvis der kommer en masse hændelser eller dine ansatte indberetter dig fordi der ikke er styr på sagerne. Eller hvad med et massesøgsmål af f.eks. Københavns Universitets 10.000 medarbejdere, 40.000 studerende og over de sidste bare 50 år, hvis deres CPR numre bliver lægget til offentligheden? Så hjælper en fortegnelse nok ikke så meget.

Hvorfor ikke hæve niveauet og fokusere på faktisk at få styr på sine data og sætte et godt eksempel for hvordan vi behandler persondata fremover.

  • 5
  • 0
Finn Christensen

Men når jeg efterfølgende vil fjerne installationen, data og samtykke. Så må MS sikkert sig, at alle de data som de har indsamlet fra min installation bliver fjernet.

En virkelig rar tanke.. ærligt og seriøs kundepleje fra dine leverandører.

Men ak nej, dine data (et ukendt sted) bliver fortsat både brugt /solgt/udvekslet, sålænge at nogen kan se nytten af dem, og uanset om du og din maskine lever eller i nu begge triller med *nix på HW eller i forlængst har sat træskoene.

Cyberspace glemmer ikke ;)

Enhver menneskeskabt uvirkelighed bliver efter nogen tid ganske almindelig dagligdags.

Og i stedet for det før vidende og uddannede personale og en høj sikkerhed, så kan der ansættes billigere og billigere arbejdskraft med rudimentær viden samt uddannelse samt robotter, der dagligt vasker/sammensætter/udtrækker og behandler gigantiske mængder p e r s o n l i g e data, for dem der (betaler/har samarbejdsaftaler/kontrollerer/forsker).

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize