GDPR-status fra en kommune – hvordan har vi det med etterlevelsen i dag?

Kan man trekke sikre konklusjoner om status for etterlevelse av det nye personvernregelverket i kommune-Norge ut fra observasjoner gjort i én kommune? Neppe. Likevel kan det være enkelte læringspunkter å hente, både for store og små kommuner, ut fra de erfaringene vi har gjort oss i Sarpsborg.

Kommuner må nemlig sies å være preget av institusjonell isomorfisme, et fenomen hvor organisasjoner prøver å redusere risiko ved å etterligne hverandre. Ofte er det organisasjonene som ansees som de flinkeste og mest vellykkede som de andre tar etter. Men mer om det siden.

Det siste året før den magiske datoen 25. mai 2018 [1] opplevde vi en pågang uten sidestykke fra ulike aktører på leverandørsiden, som hardnakket hevdet ting som

  • «Dere MÅ kjøpe vår programvare for å være GDPR-compliant!»
  • «Dette er så komplisert at dere MÅ kjøpe rådgivning fra oss!»
  • «Vår løsning gir dere full oversikt over alle personopplysninger dere har lagret!»
    og ikke minst denne:
  • «Dere risikerer bøter på inntil 4 prosent av kommunebudsjettet, altså!»

Lovnadene om gull, grønne skoger og 100 prosent etterlevelse av det nye EU-regelverket om beskyttelse av personopplysninger sto i kø. Selv om enkelte av leverandørene hadde gode poenger i sin argumentasjon, var vår tilnærming denne: «Gode verktøy er vel og bra, men utfordringen handler mer om folk. Hva betyr det nye lovverket for kommunen som behandlingsansvarlig og for den enkelte leder og medarbeider i arbeidshverdagen?»

Så vi gjorde som vi pleier i kommunen når et løft skal utføres: Vi startet et prosjekt. Vi bemannet prosjektgruppen med representanter for de ulike tjenesteområdene og satte et ryddig hode til å lede aktivitetene slik at vi var noenlunde trygge på at alle gjorde det de skulle til tidsfristen. I forkant hadde Datatilsynet gitt noen forbilledlig klare anbefalinger på hvordan norske virksomheter skulle forholde seg til det nye regelverket:

  1. Sørg for å ha oversikt over hvilke personopplysninger dere behandler
  2. Sørg for å oppfylle dagens lovkrav
  3. Sett dere inn i det nye regelverket
  4. Lag rutiner for å følge de nye reglene

Etter å ha jobbet med temaet informasjonssikkerhet og personvern både i arbeidstiden og på fritiden som masterstudent, hadde artikkelforfatteren ved flere anledninger (og med et lite glimt i øyet) foreslått at akronymet GDPR kunne bety «Ganske Dårlig På Risiko». Bakgrunnen for dette var en opplevelse av en manglende risikoforståelse i kommunen; spissformulert som:

  • Informasjonssikkerhet og personvern har vi egne folk til (IKT og PVO [2])
  • Vi registrerer helst ikke avvik som har med informasjonssikkerhet å gjøre, fordi vi vil ikke sladre på kollegaene våre.
  • Hvis vi snakker om risiko i et ledermøte, har vi gjort en risikovurdering.

Med disse innebygde fordommene i bakhodet tok vi fatt på kartleggingen av kommunens behandlinger av personopplysninger. Allerede her støtte vi på den første pedagogiske utfordringen: Hva er en behandling? Datatilsynet forklarer det som «All bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.» Det er jo en ganske vid definisjon, og hvordan er det fornuftig å gruppere slike behandlinger i en kommune? Pr. IKT-løsning, pr. arbeidsprosess eller pr. kommunal tjeneste? Vi endte opp med å ta utgangspunkt i de tjenestene vi leverer til innbyggerne, og spesifisere behandlingene ut fra dette. På den måten var det intuitivt for medarbeiderne å knytte begrepet til den daglige driften.

På den måten var det intuitivt for medarbeiderne å knytte begrepet til den daglige driften.

Kartleggingen av behandlinger har vært omfattende, men et svært nyttig arbeid. Vi har en modell hvor vi kartlegger 23 ulike elementer for hver behandling, og prøver å besvare spørsmål som:

  • Hvorfor behandler vi disse opplysningene?
  • Hvem er registrert?
  • Hva slags type opplysninger er det?
  • Hvor henter vi de fra?
  • Hvor har vi lovhjemmel?
  • Hvem har tilgang?
  • Når vurderte vi risiko sist?
  • Deler vi opplysningene med noen?
  • Hvor lenge lagres opplysningene?

Vi ser det som helt avgjørende at denne oversikten både er levende og vokser i takt med nye tjenester, og at den holdes oppdatert slik at vi til enhver tid har så god oversikt som mulig. Vi har også en ambisjon om å gjøre denne protokollen offentlig, ved å legge den ut på våre nettsider.

Vi har også en ambisjon om å gjøre denne protokollen offentlig, ved å legge den ut på våre nettsider.

Å sette seg inn i hva GDPR-regelverket krever av kommunen er en omfattende jobb. Heldigvis finnes det dyktige jurister som kan forklare og formulere dette på forståelig norsk. Teknologiadvokat Jan Sandtrø er en av dem, og vi har hatt nytte av hans oppsummeringer av hva GDPR egentlig innebærer for norske virksomheter. Samtidig må vi erkjenne at vi ikke kan etablere rutiner som dekker ALT, vi er nødt til å prioritere de områdene hvor vi mener at risikoen er høyest. Dette gjorde at vi har prioritert følgende områder når vi skulle lage nye rutiner:

  • Mål- og strategidokument – enklere, tydeligere, mindre detaljert
  • Prosedyre for behandling av personopplysninger
  • Forsterket krav om å vurdere risiko (og dokumentere vurderingene!)
  • Håndtering av innsynsforespørsler
  • Håndtering av alvorlige hendelser, inkludert avviksmelding til Datatilsynet

I sluttrapporten for vårt GDPR-prosjekt heter det i oppsummeringen: «Gjennom prosjektet har vi fått en god oversikt over behandling av personopplysninger i kommunen.

Vi har også revidert eksisterende retningslinjer og har laget noen nye. Samtidig ser vi at etterlevelse av det nye lovverket vil kreve mye. Det handler om kompetansebygging, rutiner og verktøy; å bygge en god sikkerhetskultur i Sarpsborg kommune.»

Når vi blir utfordret på å mene noe om hvordan vi ligger an med etterlevelsen av GDPR-lovverket, er dette vårt bilde av situasjonen:

Det er ikke til å stikke under stol at personvernhensyn i mange tilfeller kommer i konflikt med andre hensyn, for eksempel lovkrav til dokumentasjon. Læreres plikt til å dokumentere klassemiljøet er bare ett eksempel. Hvordan skal lærere kunne dokumentere elevers karaktertrekk og deres utvikling uten å komme på kant med personvernregelverkets krav til gjennomsiktig behandling av personopplysninger? Og hvordan skal slike notater (som ofte må tas «i fart», mellom mange andre arbeidsoppgaver) lagres med tilstrekkelig sikkerhet? Dette er en av flere krevende problemstillinger som både vi i Sarpsborg og andre kommuner må jobbe med i tiden som kommer.

En annen stor utfordring handler om å skape en kultur for å melde avvik innenfor informasjonssikkerhet og personvern. I vår kommune har vi jobbet i mange år med å formidle at et avvik er en forbedringsmulighet, og at et avvik som ikke meldes, er en tapt sådan. Vi ser at det nytter. Likevel er fangsten når det gjelder personvernavvik ganske mager:

Her indikerer tallene at det har vært en ganske så betydelig underrapportering av avvik i “vår» kategori. I en kommune med 4.200 medarbeidere og 6.500 skoleelever er det vel også sannsynlig at personvernavvikene er flere enn 80 i løpet av et år? Superenkel forskning (dvs. min egen) viser at faktorer som hemmer registrering av denne type avvik handler om organisasjonskultur, tidspress og brukeropplæring. Særlig dette at «Vi ordner opp selv, og tyster ikke på kollegaene våre» kom tydelig fram i undersøkelsene. Vi må jobbe for å fremme en kultur der avvik sees på som reelle forbedringsmuligheter, og blir tatt varmt imot av de som skal behandle dem. Det er vanskelig å lære noe av uheldige hendelser som ikke blir registrert.

For at vi skal klare å melde de alvorlige sakene til Datatilsynet innen 72 timer er det nødvendig at alle medarbeidere vet hva som er alvorlige avvik, og hva de skal gjøre. Videre er det helt avgjørende at lederne vet hvordan situasjonene skal håndteres, og hvem de kan søke bistand hos. Hittil har vi i Sarpsborg meldt inn 4 saker til Datatilsynet, og det har vært mye læring i dette. Det er også positivt og oppdragende at kommunikasjonen mellom kommunen og Datatilsynet er offentlig, og at lokalavisa ber om innsyn i avviksmeldingene. Slik åpenhet kan være krevende å håndtere, men er med på å bygge nødvendig tillit mellom innbyggere og det offentlige.

Hittil har vi i Sarpsborg meldt inn 4 saker til Datatilsynet, og det har vært mye læring i dette.

Så; hvordan er det med GDPR-etterlevelsen i kommune-Norge pr. sommeren 2019?

Jeg kan bare svare på dette ut fra min oppfatning og mitt virke i Sarpsborg kommune. Samtidig kan det være trender og trekk som man kan finne igjen i andre kommuner. Mye trekker i positiv retning: Jobben som er lagt ned hittil, den økende oppmerksomheten, den økende kompetansen og erfaringen vi får og ikke minst; det gode samarbeidet vi har oss kommuner imellom.

Samtidig er det udiskutabelt at kommuner er komplekse virksomheter, og at økende digitalisering utfordrer personvernet. Når du kombinerer dette med et omfattende lovverk og lite tilgjengelig språk, er det duket for bekymring! Noen av de viktigste oppgavene og utfordringene vi står overfor er etter mitt skjønn følgende:

  • Å lære opp vernepleieren, feieren, lederen og læreren slik at alle har riktig kompetanse
  • Å dokumentere alt det vi skal, og ikke mer
  • Å skape tilstrekkelig forståelse for risiko
  • Å få oversikt over all den ustrukturerte informasjonen vi har
  • Å sikre at migreringen ut i skyen blir gjort på en kontrollert måte

I 1983 beskrev Paul DiMaggio og Walter Powell fenomenet institusjonell isomorfisme i artikkelen «The iron cage revisited: Institutional isomorfism and collective rationality in the organizational field”. Det kommer neppe noen film, så det anbefales å lese artikkelen! Poenget hos disse forskerne er at organisasjoner søker å minimere risiko ved å ligne på hverandre. Dette gjelder i høyeste grad også for kommuner. Vi kopierer konsepter og metoder og prøver virkelig ikke å finne opp hjulet på nytt. Vi deler erfaringer og samarbeider over kommunegrensene.

For oss i andre kommuner er det viktig å trekke lærdom av disse sakene.

I GDPR-sammenheng må det derfor sies å være et paradoks at det er de to største kommunene i landet som har fått de to største overtredelsesgebyrene for å ha brutt det nye lovverket. Både Oslo og Bergen har mye god kompetanse og mye ressurser til å møte disse utfordringene med. Samtidig er de store og komplekse organisasjoner og det er mange registrerte personer i systemene deres. For oss i andre kommuner er det viktig å trekke lærdom av disse sakene. Kunne dette ha skjedd i våre kommuner også?

Noter:

1. Opprinnelig dato for innføring av GDPR i Norge

2. Personvernombudet

___________

Knut J. Eggen har erfaring fra IT-drift og IT-ledelse samt fra salg og rådgivning i telekom- og programvarebransjen. Siden 2009 er han ansatt i Sarpsborg kommune, hvor han har rollen som personvernombud. Han har tidligere også hatt roller som sikkerhetsansvarlig, prosjektleder for digitalisering og IKT-strateg. Han har en Master i IT og ledelse fra Universitetet i Oslo fra 2016 og skrev masteroppgave om personvernkompetanse i grunnskolen.
Denne artikkelen ble publisert i Kommunerevisoren nr. 5/2019