Kampen endte uafgjort: Forståelige frustrationer blev mødt af gode svar.
Udover at elever ikke skal klippes ud af billeder, når de skifter skole, fik vi klarlagt endnu engang, at samtykke altid er den værst tænkelige hjemmel. Brug noget andet – hvad som helst andet, bare brug noget andet. Eksempelvis myndighedsudøvelse.
Offentlige myndigheder bør ganske enkelt aldrig tænke samtykke først, men altid starte i hjemlen myndighedsudøvelse. Ofte må det således antages, at særlovgivning på social-, skole- eller serviceområdet må antages at være fuldt ud tilstrækkeligt til, at der kan behandles de personoplysninger, der er relevante og nødvendige for at udføre de opgaver, som er formålet med særlovgivningen.
Og så var budskabet centralisér! Centralisér internt, så det aldrig er den enkelte sagsbehandler, der skal tage stilling til GDPR, risikovurderingen og hvad der skal behandles:
Det bør efter Datatilsynets opfattelse ikke være den enkelte pædagog, sundhedsplejerske eller sagsbehandler, der har til opgave at dokumentere lovlig håndtering af borgernes data. Kommunen må sørge for, at korrekt behandling af personoplysninger i det daglige arbejde understøttes såvel teknisk som organisatorisk.
Datatilsynet gjorde også opmærksom på, at KL bør går forrest med et adfærdskodeks, så kommunerne føler sig mere trygge i den daglige anvendelse af forordningen:
En mulighed er også, at KL udarbejder et adfærdskodeks. Et adfærdskodeks er et sæt retningslinjer, som skal bidrage til at sikre, at de myndigheder, der tilslutter sig kodekset, anvender databeskyttelsesreglerne korrekt.
I forhold til databehandlerne var budskabet også centralisér: Det gælder især indgåelse af databehandleraftaler og tilsyn og kontrol. KL kan her gøre en del. Så bolden tilbage på KLs banehalvdel. KL angiver:
Kommunerne oplever det voldsomt resursekrævende at følge GDPR-kravet om, at de selv – eller dyre revisorer på deres vegne – skal føre tilsyn med deres databehandlere. For hver enkelt kommune er der tale om flere hundrede aftaler. Desuden skal mange kommuner føre nøjagtigt den samme kontrol med samme databehandler, hvilket ikke øger datasikkerheden.
Svaret fra Datatilsynet synes at ligge lige for:
Når man behandler personoplysninger, og særligt når disse videregives til andre, herunder databehandlere, medfølger et ansvar, f.eks. at føre tilsyn med sine databehandlere. Dette er et specifikt krav efter forordningen. For at lette dette arbejde har Datatilsynet har udgivet en vejledning specifikt relateret til tilsyn med databehand-lere. Det fremgår bl.a. af tilsynets vejledning, at den dataansvarlige med fordel kan tilrettelægge sit tilsyn på baggrund af den risikovurdering, som den dataansvarlige har foretaget. Hvor ofte og hvordan der skal føres tilsyn med databehandlere kan derfor variere alt efter risikoen for borgernes rettigheder og frihedsrettigheder. Også i denne sammenhæng bifalder Datatilsynet et eventuelt samarbejde myndighederne imellem.
Hvis kommunerne lige præcis vil have mere tid til de varme opgaver, må man opfordre til at pulje de kolde. Derefter er det også nemmere at pege på, at regningen skal sendes videre til staten, da udgiften på det kolde netop ikke er defineret af serviceniveau og lokale beslutninger, men af lovgivning der kommer langvejs fra. Men det kan nu også være os, der her er for excelarksoptimistiske. Centralisering af it er som regel ikke så let endda.
Men her skal man dog huske, at der ikke er tale om centralisering af it i traditionel forstand. Det er blot compliancedelen, der skal samles. Og det skal kunne lade sig gøre. Det kan ske helt lavpraktisk ved at dele oplysninger digitalt – det kan også ske ved at oprette en særlig GDPR-shared service for kommunerne med en fast defineret opgaveportefølje.
Som overalt hvor compliance dukker op I horisonten, når man har outsourcet it (uden at overveje compiancekonsekvenser), går det op for en, at teknikerne i kælderen hurtigt skal erstattes af slipsedyr på gangene. Ingen har sagt det skulle være let – og det bliver det aldrig. Det er bare at komme I gang!