Det er mega spændende, fortæller Jette Rask om sit job som databeskyttelsesrådgiver i Ringkøbing-Skjern Kommune:
"Hverdagen er totalt uforudsigelig. Man tror, at man har en plan for dagen, men så dukker der noget op, man ikke havde tænkt på, og som man pludselig skal forholde sig til. Jeg bruger mit hoved temmelig meget i løbet af en dag. Jeg bliver udfordret, men jeg ”mestrer det næsten”, og det er en god følelse", fortæller hun.
Og efterspørgslen efter hendes viden og rådgivning er ikke blevet mindre, selvom loven om databeskyttelse har efterhånden har en del år på bagen:
"Vi er igennem den første fase, hvor vi fik mange nemme spørgsmål og derfor kunne give hurtige svar. Nu er spørgsmålene mere spidsfindige. Det er selvfølgelig sværere, når man ikke bare kan bruge sin paratviden, men det kan også hænge sammen med, at jo bedre man kender lovgivningen, desto mere bevidst inkompetent bliver man. Man bliver klar over alt det, man ikke ved", fortæller hun om de opgaver, der fylder mest for DPO'en lige nu.
I øjeblikket er det videregivelse af personoplysninger, der fylder meget hos medarbejderne i kommunen, og derfor også hos Jette Rask:
"Vi får mange spørgsmål om, hvad man må videregive inden for egen forvaltning og til andre områder? Reglerne gør medarbejderne usikre, og vi risikerer, at de – i frygt for at handle forkert – helt undlader at handle, og det kan også være forkert. Så det fylder meget, og medarbejderne tager reglerne meget alvorligt", fortæller hun.
Teamet fik et fælles sprog
Som DPO er Jette Rask den eneste, der arbejder med databeskyttelse på fuld tid. Hun er en del af et team, som foruden hende består af en jurist og en informationssikkerhedskoordinator. Efter en organisationsændring blev enheden lagt sammen med HR i en ny stab ’Personale og Digitalisering, og med en ny chef var der behov for et fælles sprog.
KL Jura og EU havde tidligere afholdt halvdagsmøder om databeskyttelse for over 300 ansatte i Ringkøbing-Skjern Kommune, og da Jette Rask læste om Den Offentlige DPO-uddannelse, tog en god idé form: Hvis alle fire deltog sammen, ville de få samme basisviden og samme sprog.
Alle fire tilmeldte sig forløbet, og det viste sig at være en god idé:
"Det har givet os et fælles udgangspunkt og et fælles sprog for, hvordan vi rådgiver ledere og medarbejdere i vores organisation. Vi er nu rimelig enige om forståelsen og om, hvordan vi rådgiver i databeskyttelsesspørgsmål", fortæller Jette Rask om udbyttet af teamets deltagelse på forløbet.
Efter forløbet har teamet aftalt at holde månedlige teammøder, hvor de bl.a. arbejder med materialet fra forløbet for at planlægge de indsatser, der skal igangsættes i organisationen.
"For mig betyder disse teammøder, at det er nemmere for mig at sparre med mine tre teamkollegaer. Nogle gange er det fint selv at boge den, men ofte er det en stor hjælp, hvis der er flere øjne på et spørgsmål. Det kvalificerer vores svar til organisationen", siger hun.
"Vi gennemgik på uddannelsen også nogle afgørelser fra Datatilsynet i andre lande. Det fik jeg rigtig meget ud af. Vi snakkede bl.a. meget om, hvor vigtigt det er at have den rette hjemmel. I Grækenland har der f.eks. været en sag om hjemmel i forhold til personaleoplysninger, hvor organisationen først brugte samtykke og derefter lovgivning som hjemmel. Den går ikke, og de fik en millionbøde. Sådan et eksempel skærper min forståelse for, at vi skal sikre, at vi ikke har anden lovgivning, før vi bruger samtykke som hjemmel", fortæller hun om sit faglige udbytte.
Det kommunale er implicit
Det er ikke første gang, at Jette Rask deltager på et forløb for DPO'er. Hun var på uddannelse i starten af 2018, men fordi uddannelsen ikke var målrettet kommuner, var det en stor opgave at oversættelse undervisningen ind i en kommunal praksis.
"Det her forløb er meget mere målrettet det kommunale. Hele forståelsen af, hvordan kommunen arbejder, hvilke opgaver, kommunen løser, og hvordan det politiske system er skruet sammen, ligger implicit i Den Offentlige DPO-uddannelse", fortæller Jette Rask og giver de to undervisere Henning Mortensen og Bodil Drabæk rosende ord med på vejen:
"Bodil og Henning er de bedste undervisere, jeg har haft! Jeg kendte til Henning ad andre veje og havde hørt oplæg fra ham. Jeg havde ikke hørt om Bodil før, men hun var virkelig god. Jeg blev positivt overrasket over det faglige niveau og undervisernes forståelse for det kommunale og deres formidlingsevne."
Rådgivning, ikke sagsbehandling
Den Offentlige DPO-uddannelse har også styrket Jette Rask i sin rolle som DPO og rådgiver for organisationen:
"Vi har fået en masse materialer og kompendier, som jeg kan slå op i og lade mig inspirere af, når jeg skal svare på spørgsmål eller rådgive mine kollegaer", fortæller Jette Rask og fortsætter:
"Men jeg er også blevet bekræftet i min rolle i organisationen og i, at vi gør mange ting godt. På kurset var jeg en af de få DPO'er, der havde lavet en retningslinje, hvor alle fagområderne selv har ansvar for at indberette til Datatilsynet ved sikkerhedsbrud. Jeg rådgiver gerne om, hvordan de håndterer sikkerhedsbrud, men indberetningen skal de selv sørge for. Som DPO er jeg rådgiver og skal ikke sagsbehandle. Det blev jeg bekræftet i på forløbet."
Retningslinjen var et forsøg, som skal evalueres efter et år. Men ifølge Jette Rask har organisationen taget godt imod initiativet, for det skærper opmærksomheden på sikkerhed, når man selv skal melde ind.
GDPR skal finde det rette niveau
Som DPO er Jette Rask opmærksom på, at viden om og retningslinjer vedrørende beskyttelse af personoplysninger ikke rykker, hvis den kun ligger hos hende:
"GDPR bliver hurtigt abstrakt, og så bliver man usikker. Derfor skal viden om GDPR ud og arbejde i områderne, så alle har en forståelse af, hvad det er, og hvad det betyder. Det er med GDPR og som enhver anden lovgivning på linje med forvaltningsloven, den skal ind og ligge på rygraden. Det er en vigtig opgave at få det masseret ind i organisationen", siger hun. Hun holder to årlige møder med kontaktpersoner fra alle kommunens fagområder, og sammen har de en vigtig opgave:
"Vi skal finde det rette niveau for både at beskytte data og have hensigtsmæssige arbejdsgange. Det er vigtigt, at vi ikke går i panik. Vi skal trække vejret og bruge vores sunde fornuft. Også i forhold til risikovurderingerne. Vi skal ikke male fanden på væggen men arbejde for at få det til at glide. For der er jo også noget arbejde, der skal udføres", afslutter hun.
Derfor anbefaler hun også alle kontaktpersoner at tage Den Offentlige DPO-uddannelse, som kan give dem et stort kompetenceløft.