Må man lave kagelister og sende sms'er? Datatilsynet svarer på kommunernes GDPR-forvirring

Illustration: Good-Stock/Bigstock
Den nye databeskyttelsesforordning 'spænder ben' for velfærden ifølge Kommunernes Landsforening.

Kommunernes Landsforening kritiserer Databeskyttelsesforordningen, GDPR, for at 'spænde ben for velfærden', og de danske kommuner bruger for mange ressourcer på at navigere rundt i, hvad de må og ikke må.

Det mener landsforeningen, der præsenterer et katalog med 40 scenarier, hvori kommunalt ansatte er i tvivl om, hvordan de skal håndtere borgeres persondata.

Nu har Datatilsynet gjort status over, hvad der er det rigtige at gøre i de 40 tænkte situationer, som Kommunernes Landsforening altså præsenterer på vegne af ansatte i sygehuse, børnehaver, plejehjem og øvrige kommunale institutioner.

Flere steder er man eksempelvis i tvivl om, hvordan man behandler oplysninger på folks navne og adresser, hvad man må indsamle internt af diverse oplysninger, og hvornår man skal bruge sikrere kommunikationsmetoder end sms og almindelig e-mail.

Læs også: Ny rapport om GDPR: Danmark i top-3 over flest persondatabrud

Krævende dokumentation

Der bliver spændt ben for det kommunale arbejde, når de ansatte skal bruge ressourcer på at dokumentere, at de overholder GDPR, og at dette arbejde forhindrer dem i at løse deres kerneopgaver.

Det vurderer Kommunernes Landsforening på vegne af kommunerne i et af deres scenarier, hvor de sætter spørgsmålstegn ved dokumentationskravet.

Men her refererer Datatilsynet til det overordnede hensyn, når man taler om GDPR, der i sidste ende handler om at sørge for, at uvedkommende og uvelkomne typer med onde hensigter ikke får fat i borgeres personoplysninger.

Læs også: Datatilsynet udtaler alvorlig kritik: Underleverandør kunne ikke garantere sikker opbevaring af CPR-numre

Og der er dokumentationen, i form af blandt andet risikovurderinger, grundlaget for, at både kommunen selv og øvrige myndigheder og borgere kan vide sig sikre på, at dette arbejde udføres til punkt og prikke.

Sikre platforme

Kommunerne fremhæver også flere eksempler, hvor kommunerne er i tvivl om, hvordan man på bedste og mest effektive vis håndterer personoplysninger forsvarligt i sin kontakt med borgere.

I et scenarie argumenteres der for, at borgere kan være langsomme til at svare på henvendelser fra kommunerne via Digital Post. Derfor spørges der ind til muligheden for at bruge almindelig mail eller sms'er for at få hurtigere svar, også selvom information kan være af følsom karakter.

Men Datatilsynet understreger i flere af sine svar, at både almindelige mail-tjenester og sms'er ikke er sikre kommunikationsformer, hvorfor man ikke skal anvende de usikre metoder, hvis ens besked indeholder følsomme oplysninger.

Læs også: Hovsa: Teleselskab deler kunders private sms-beskeder med politiet

Anonyme børnehavebørn

I flere scenarier udtrykker kommunerne usikkerhed i forhold til, hvornår man må oplyse borgeres navne.

I ét scenarie er plejehjemsansatte i tvivl om, hvorvidt de må have beboernes navne stående ved indgangen og på oversigter på plejehjemmet.

I et andet eksempel er pædagoger i børnehaver i tvivl om, hvorvidt det er i strid med GDPR, hvis de oplyser et barns navn til kommunens sundhedsplejerske, hvis barnet eksempelvis skal screenes.

I sidstnævnte scenarie har pædagoger i et tilfælde givet børn nummererede veste på under en given screening, så de kunne referere til det enkelte barn uden at identificere vedkommende overfor sundhedsplejersken.

Læs også: Gladsaxe-modellen spøger: Nyt AI-projekt skal forudsige mistrivsel hos børn

At have navne hængende på plejehjem og at kalde børn ved deres navn foran sundhedspersonale er begge fuldt ud lovlige.

Førstnævnte er ifølge Datatilsynet ikke følsomme oplysninger, og de ansatte tjener derudover et klart sagligt formål, mens der i sidste tilfælde er tale om, at sundhedsplejersker godt må behandle relevante sundhedsoplysninger, herunder navne, i forbindelse med deres arbejde

Kollegaers oplysninger

Det er heller ikke kun i forholdet mellem kommunalt ansatte og øvrige borgere, at der er tvivl om den nødvendige praksis.

Også internt på de kommunale arbejdspladser er der tvivl om, hvad man i dag må indsamle og vide om sine kollegaer.

Kommunernes Landsforening sætter både spørgsmålstegn ved, om man må have vagtplaner hængende i fællesrum, og om man må lave lister over kollegaers fødselsdage og kagepræferencer.

Vagtplaner og fødselsdagsoversigter er helt i orden ifølge Datatilsynet. Det er kagelister for så vidt også, så længe de ikke bruges til at registrere medarbejderes religiøse baggrund eller allergener.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Rasmussen

Ordet "benspænd" er ret godt valgt, når man ser på GDPR konsekvenserne for den offentlige sektor. De 40 scenarier er jo ikke fri fantasi, men dagligdag. Fagpersoner af alle arter, som skulle udføre velfærdsopgaver, bruger tid på IT-politiske/juridiske vurderinger for at glæde privacy aktivister. Interessant, at Datatilsynets kommentarer i høj grad er "ikke-svar", som enten åbner ladeporte for klager, eller at al borger-myndighed kommunikation skal vejes på en guldvægt for at undgå gabestokken. En uvidenskabelig vurdering er, at en typiske kommune måske er på vej mod, at +/- 2 % af udgifterne relaterer sig til GDPR mht omkostninger til DPA, DPO, samtykke-håndtering, rensning af dokumenter for informationer, mere kompleks kommunikation, risikovurderinger, "på den sikre side" handlinger, øgede udgifter til IT-services og kontrakthåndtering. Privacy aktivisterne har vundet og velfærden har tabt.

  • 4
  • 14
Bjarne Nielsen

Det er en trist dag, hvor man skal høre kommunerne og deres landforening italesætte det, at skulle respektere basale borgerrettigheder og praktiserere almindelig sund fornuft, som "benspænd". Det er som at høre et barn, som gennem hele sit liv kun har levet af slik og pommes frites blive hysterisk over at blive præsenteret for en gulerod.

Der er et yderst underholdende og læseværdigt apropos på aflyttet.dk forfattet af 'admin' under titlen "GDPR virker – Kommunerne HADER den!".

Der er mange fine pointer, så lad mig nøjes med at slå ned på en enkelt: jeg græder også tørre tårer over, at det bliver besværligt for kommunerne at kaste deres borgere for de amerikanske overvågningskapitalistiske SoMe løver. Som 'admin' siger i udgangsreplikken til det afsnit:

Det er dumt og klamt. Stop det. Problem løst?

Tja, iom. at de så åbenlyst ikke selv forstår det, selv efter at det er blevet bøjet i lovgivnings-neon, så desværre nej. Man skulle ellers mene at det er almindelig sund fornuft, at man ikke udleverer sine venner til dem, som ikke vil dem det godt. Men borgerne er måske ikke venner, men bare en trælst nødvendighed, en omkostning, som skal minimeres? Og kan man skræmme dem væk, så kan det ikke gå for hurtigt.

Jeg er også rystet over, at man kan stille spørgsmålstegn ved, hvorvidt man skal passe på fortrolige oplysninger ... om borgerne, forstås, for egne pinligheder vogter man nidkært med mørkelygter, og professionelt spin - og det gælder også vennerne langt ind i det private erhvervslivs og oversøiske forskere. Hvordan kan man overhovedet tænke tanken at fortrolige oplysninger ikke at noget, som man skal behandle i, ja, fortrolighed, og derfor skal låses inde og makuleres efter brug? Hvad i øvrigt også gælder for oplysninger på elektronisk form, og ikke kun i papirform (ja, det skal åbenbart også skæres ud i pap).

Torben Rasmussen skriver (i debatten, ovenfor)

Fagpersoner af alle arter, som skulle udføre velfærdsopgaver, bruger tid på IT-politiske/juridiske vurderinger for at glæde privacy aktivister.

Ja, det undrer også Datatilsynets, at kommunerne og KL sådan kaster deres frontsoldater under bussen. Lad mig citere fra Datatilsynets iøvrigt ganske læseværdige pressemeddelse:

"Som KL også nævner flere steder, kan det være svært for den enkelte medarbejder på et plejehjem, i en børnehave e.l. at skulle forholde sig til juraen. Datatilsynet anbefaler derfor også, at det er kommunens jurister, der sætter rammerne for arbejdet, så medarbejderne, der har kontakten med borgerne, kan koncentrere sig om netop borgerne," siger Cristina Angela Gulisano.

Kom nu ind i kampen, KL og kommuner, og vær jeres opgave voksen. Man sætter jo heller ikke en pedel til at skrive taler for borgmesteren, vel?

Det er fristende at dele tudekiks ud til KL, men det er langt værre end som så. Det er tydeligt, at der er en grundlæggende syg kultur i kommunerne og i KL især. Vi så det bl.a. med det fuldkommen tonedøve notat fra DareDisrupt. De har alt for længe fået lov at leve i et ansvarsfrit rum, og betragter derfor ikke længere borgerne som deres vigtigste interessent, men derimod som et uundgåeligt onde og en omkostning, som skal minimeres. Borgerne, det er ikke noget, som man behøver vise nogen form for respekt for; de utaknemmelige skarn! Godt så. Men så hav i det mindste respekt for loven, og kom ind i kampen, i stedet for at få hysteriske anfald over, at der også bliver stillet krav til jer.

  • 23
  • 3
Jakob Dahl

Der er mange af de principper i GDPR forordningen der har været i forvejen i persondataforordningen og derfor har været gældende lovgivning i knap 20 år. Eneste forskel er at folk nu er begyndt at tage det seriøst fordi de kan få bøder. Meget af det ligger også helt i tråd med sund fornuft. Andre steder i IT plejer man at skrive RFTM når folk stiller helt tåbelige spørgsmål i et forum. Det er muligvis det der er brug for her, at uddanne de medarbejdere der skal håndtere borgeres oplysninger. /Jakob

  • 10
  • 0
Anne-Marie Krogsbøll

... at data er magt. I "gamle" dage sagde man, at sprog er magt. Den nye virkelighed er, at data er magt. Så når offentlige institutioner, forskere, overvågningskapitalister og magthavere i skøn forening og indbyrdes forståelse rager flere og flere data om borgerne til sig, så forrykkes magtbalancen mellem borgerne og magthaverne - vel at mærke umærkeligt og uden om demokratiske kanaler.

"Nogen" i toplaget rager lige så stille magt til sig via mere eller mindre skjult datafangst, og inden længe kan borgernes demokratiske rettigheder ikke længere følge trit med dette magtskred.

Danmark består nu af de, der sidder på data, og dermed har magt (overDanmark)- og de, der viljeløse må levere disse data, og give magten fra sig (UnderDanmark).

Ikke, at jeg tror, at det gør indtryk på KL at nævne det - de er nok ganske godt tilfredse med den udvikling, for den giver jo topfolkene i KL ekstra magt. Og det er nok ligefrem meningen.

Vi bliver kuppet.

  • 3
  • 2
Leif Neland

"Det er kagelister for så vidt også, så længe de ikke bruges til at registrere medarbejderes religiøse baggrund eller allergener."

Bortset fra at der nok menes allergier og ikke allergener er det vel relevant på en kageliste at skrive hvis man er allergisk overfor jordbær eller ikke må spise bananer iflg sin religion.

Men er det ikke muligt at lave en liste over de informationer det er nødvendigt at dele for at kunne være ansat/kunde/elev, og så kræve personens tilladelse som krav for samarbejdet?

Må taxachaufføren ikke få et billede, kan du ikke køre med.

  • 1
  • 1
Thomas Toft

Godt at se at hvad er har været lov i mange år er begyndt at give staten og kommunerne kvaler. Så må de rette ind. I det private er der sket langt mere. F.eks. fandt jeg for nyligt ud af at min bank stadig havde min gamle adresse i deres system da de kan ikke se min adresse er ændret pga. navnebeskyttelse.

Jeg har også lige i dag modtaget en mail fra LG om hvad mit TV indsamler af data. Det kan kommunerne stadig ikke finde ud af at oplyse om.

  • 1
  • 0
Log ind eller Opret konto for at kommentere