Djævlens advokat og brugernes ambassadør

af Sabrine Mønsted

Ole Holm er nyudnævnt Data Protection Officer på Det Kongelige Bibliotek. Han skal sikre, at der ikke er en finger at sætte på bibliotekets håndtering af persondata, når EU’s persondataforordning træder i kraft i maj 2018. 

Det er et krav i den nye EU-persondataforordning, der træder i kraft i 2018, at alle offentlige myndigheder og institutioner udpeger en Data Protection Officer til at sikre, at de lever op til forordningens krav. Ole Holm er Det Kongelige Biblioteks nye DPO. Foto Gitte Sofie Hansen

- Alle har ret til at vide, hvad deres oplysninger på nettet skal bruges til, ikke at udlevere overflødige data og til at blive »glemt« igen, siger Ole Holm, der er ny Data Protection Officer (DPO) på Det Kongelige Bibliotek. En stilling, der ifølge ham ligger i naturlig forlængelse af hans rolle som it-sikringskoordinator  på biblioteket, men hvor fokus er flyttet fra, hvordan systemerne fungerer generelt til, hvordan de håndterer personfølsomme data. Ole Holm skal med andre ord være brugernes ombudsmand og djævlens advokat i forhold til bibliotekets systemer.

Og ledelsen skal lade ham gøre præcis det, han mener er nødvendigt for at leve op til den nye EU-forordning om persondata, der træder i kraft i maj 2018. Det ligger nemlig i DPO-jobbet, at man ikke må tage imod instrukser fra den interne ledelse om, hvordan man udfører opgaven.

- Det er i sidste ende ledelsens ansvar, at vi overholder EU-forordningen, så det er i deres interesse, at jeg spiller djævlens advokat og sikrer mig, at systemerne lever op til kravene, siger Ole Holm, der er uddannet bibliotekar DB i 2001.

Et skridt væk fra systemet

Som DPO skal han også være neutral i forhold til systemerne, så hvor han før sad med i driften og udviklingen af systemerne som it-sikringskoordinator, skal han nu være med til at sætte retningen i forhold til persondatasikkerhed, dog uden at have ansvaret for den konkrete udvikling, indkøb og drift. I stedet skal han stille de kritiske spørgsmål undervejs.

- Det nytter ikke noget at udvikle et system og seks uger før, det skal i luften, sige: »Nå, hvad så med håndteringen af persondata?«, siger Ole Holm. Datasikkerhed skal tænkes ind fra starten i udviklingen af ethvert system, hvilket også er et af de nye krav i EU-forordningen. På engelsk kaldes begrebet Privacy by Design.

Et andet krav er Privacy by Default, hvilket betyder, at man ikke må have data liggende, der er unødvendige for den service, man leverer. Alt overflødigt skal fjernes.

- Vi har ofte fokus på at få de oplysninger ind, vi skal bruge, men bruger ikke de samme kræfter på at få de ubrugbare oplysninger ud af systemerne igen. På Det Kongelige Bibliotek arbejder vi mod at fjerne inaktive brugerkonti og overflødige brugerdata, og min egen holdning er, at man ideelt set skal kunne nedlægge sig selv som bruger, når man ikke længere ønsker at benytte bibliotekets services. At brugeroplysningerne ofte findes i en backup er en udfordring, vi arbejder med, og som skal løses.  

Et krav i forordningen er også, at det skal være tydeligt for brugerne, hvad deres oplysninger skal anvendes til, når de afgiver dem. Så det er slut med for eksempel Facebooks tyve sider Terms of use, hvor det først står nederst på sidste side, hvad der sker med deres oplysninger. 

Smuthuller er det værste

Med Ole Holms nye titel som DPO følger en række konkrete opgaver. Alle systemer, elektroniske og fysiske, der indeholder det mindste persondata, skal kortlægges. Hvilke data er der tale om? Hvad bruges de til? Hvor kommer de fra? Hvor sendes de hen? Hvor længe ligger de i systemet? Og hvad er procedurerne for at fjerne dataene igen?

- Vi har selvfølgelig allerede meget dokumentation om systemerne, men nu er vinklen på persondatasikkerhed. Firkantet sagt, så har sikkerhedsarbejdet med it i virksomheder og offentlige institutioner hidtil handlet primært om sikkerheden i forhold til dem selv; at systemet ikke gik ned, ikke blev hacket og så videre. Nu skal hensynet og fokus være på borgerne, siger Ole Holm, som for at få overblik vil samarbejde med fire til fem nøglepersoner med systemkendskab. Desuden vil forskellige medarbejdere blive involveret ad hoc, så alle systemer og procedurer kan blive dokumenteret.

Selvom Ole Holm i 11 år har arbejdet med bibliotekets systemer og sikkerhed og siden februar 2015 som it-sikkerhedskoordinator, har han brug for nye kompetencer for at kunne varetage rollen som DPO. I efteråret tager han for eksempel et fire dages-kursus hos Kammeradvokaten (én af mange udbydere af kurser om EU-forordningen).

- Det er både om de konkrete regler og om, hvordan vi sikrer os, at vores databehandlere lever op til reglerne, for det falder tilbage på os, hvis de ikke gør. Hvilke klausuler skal der for eksempel være i vores aftaler? Jeg er også ved at undersøge, hvilke værktøjer vi kan bruge til at kortlægge systemerne og koordinere, at de rigtige mennesker får talt sammen i udviklingen af systemerne. Det er sådan en slags avancerede tjeklister. Smuthuller er det værste i datasikkerhed, siger Ole Holm. 

Aura af sikkerhed 

Ole Holm ser EU’s nye persondataforordning som et skridt i en helt nødvendig retning.

- Vi lever i en tid, hvor alt bliver digitalt, og hvor vi som samfund vil have borgerne til at bruge de digitale systemer. Det fungerer kun, hvis borgerne er trygge og har tillid til systemerne. Det er også i tråd med den fællesoffentlige digitaliseringsstrategi. Når vi er på nettet som offentlig institution og tilbyder en service, skal der være en aura af sikkerhed. 

Et nyt krav i forordningen er også, at virksomheder, offentlige institutioner og organisationer laver en risikovurdering og en konsekvensanalyse. Hvad er det værste, der kan ske for brugerne, hvis de oplysninger, man har om dem, kommer ud?

Ole Holm håber, at den nye forordning, ud over at give brugere og kunder større sikkerhed for, at der bliver passet på deres data, vil gøre os alle mere bevidste om vores rettigheder på nettet.

De fem vigtigste krav for biblioteket ifølge Ole Holm  

  1. Øget dokumentationskrav – kortlægning af datatyper, kilder, formål, anvendelse og sletning.
  2. Pligt til udarbejdelse af konsekvensanalyser (Privacy Impact Assessments) - identifikation af kritiske persondatabehandlinger og beskrivelse af sikkerheden omkring behandlinger og systemer.
  3. Pligt til at indtænke databeskyttelse fra starten ved anskaffelse og udviklingen af IT-systemer og services, Privacy by Design og Privacy by Default. 
  4. Offentlige virksomheders pligt til at udpege en Data Protection Officer.
  5. Markant højere bøder for overtrædelse af persondataforordningen, pligt til underretning af de nationale tilsynsmyndigheder ved brud på persondatasikkerheden og i yderste konsekvens pligt til at underrette brugerne direkte. 


Skriv en kommentar