Det administrative monster
tekst Frederik Overby Vinding
Skal sundhedspersonalet bruge tid på at rive labels af brugte pilleglas, inden de bliver smidt ud? Og må en folkeskolelærer tage en fotokopi af børnenes pas, inden man tager på skolerejse?
Det er blot to ud af de i alt 40 spørgsmål fra kommuner landet over, som er at finde i KL’s nye eksempelkatalog ”GDPR-Benspænd”. Kataloget understreger ifølge KL behovet for handling, og det skal sætte en tyk streg under, at GDPR har udviklet sig til et ”administrativt monster”.
– Kataloget er egentlig en smule skræmmende, idet det viser mange eksempler på, hvad kommunerne hver dag må slås med i forhold til implementeringen og anvendelsen af GDPR i hverdagen, siger formand for KL’s arbejdsmarkeds- og borgerserviceudvalg, Thomas Kastrup Larsen (S).
Ifølge KL går det ud over kommunernes muligheder for at levere den kernevelfærd, de er sat i verden til, fordi personalerne blandt andet skal bruge tid på at dobbelttjekke, at de ikke bryder GDPR.
– Det hele er toppet op af, at der også er nogle store heftige bøder, man kan få. Det gør, at den her usikkerhed også bliver krydret med en cover-my-ass-kultur, siger Thomas Kastrup-Larsen.
Det har fået Datatilsynet til at reagere, og de har nu fulgt op på KL’s katalog og besvaret samtlige 40 tvivlsspørgsmål med en konkret vurdering.
Forskrækket
En af KL’s hovedkritikpunkter er, at medarbejderne bliver utrygge, fordi de ikke kan gennemskue, hvad man må og ikke må.
– Nogle af eksemplerne er jo direkte groteske, men kommunerne risikerer store sanktioner, hvis der findes fejl, så derfor går man med livrem og seler, siger Thomas Kastrup-Larsen.
Ayo Næsborg-Andersen giver KL ret i, at de mulige sanktioner er en del af årsagen til, at medarbejderne er så påpasselige. Hun er lektor ved Syddansk Universitet og forsker i persondataret. Ifølge hende har der i nogle kommuner været en GDPR-forskrækkelse, der har holdt mange ansatte tilbage.
– Det her handler om, at kommunerne har været overforsigtige, fordi de har været bange for bøder. Der har så også været en misforståelse om, at så snart man var inde for GDPR, måtte man ikke noget som helst. Den kombination har været giftig, siger hun.
Da persondataforordningen – som er GDPR’s danske navn – trådte i kraft i 2018, var det med den nye tilføjelse, at offentlige myndigheder også kunne få bøder på op til 16 millioner kroner. Men Ayo Næsborg-Andersen peger samtidig på, at der endnu ikke er givet en bøde siden reglerne trådte i kraft.
– Det offentlige har jo ikke været vant til at få bøder på den måde, for det har vi ikke haft tradition for i Danmark. Så det er et nyt skræmmende dyr. Det, der har fyldt, er, at man ikke har vidst, hvor stor en bøde, det bliver, siger hun.
Bøderne er også en af KL’s store kæpheste. De vil gerne have dem helt fjernet fra offentlige myndigheder.
– Bøderne, som jeg ser det, er designet til at straffe tech-giganter, hvis de udnytter folks data til at tjene en hel masse penge. Vi skal jo ikke have overskud af det her, så vi har den største interesse i at servicere vores borgere godt, og vi slækker ikke på datareglerne, om der er bøder eller ej, siger Thomas Kastrup-Larsen.
Nummererede veste
Ifølge Ayo Næsborg-Andersen er det helt tydeligt, at der er nogle kommuner, der har været for forsigtige og har gjort livet svært for deres medarbejdere.
I rigtig mange af eksemplerne fra kataloget vurderer Datatilsynet, at det er i orden for medarbejderne i den konkrete sag at behandle data, såfremt det gøres forsvarligt.
Betyder Datatilsynets svar, at man i kommunerne kan bløde lidt op? – Ja, der hvor man har været så forsigtig, at man har forhindret det helt almindelige arbejde nede på gulvet. For eksempel i tilfælde som det, hvor en sundhedsplejerske ikke må kende en række børns navne, siger Ayo Næsborg-Andersen.
Hun refererer til et eksempel fra kataloget, hvor medarbejderne i en børnehave var i tvivl om, hvorvidt en kommunal sundhedsplejerske, der skulle screene børnene motorisk, måtte kende børnenes navne. Det endte med, at sundhedsplejerskerne gav børnene nummererede veste på, så hun slap for at lære navnene at kende.
– Jeg ved ikke, hvem de har snakket med, der har sagt det, men det lyder helt absurd. Det er sådan nogle situationer, hvor man tænker, at det ikke kan passe. Og det gør det også sjældent, siger Ayo Næsborg-Andersen.
Datatilsynets svar på det konkrete eksempel er da også, at en sundhedsplejerske gerne må behandle helbredsoplysninger, og derfor må de naturligvis også behandle oplysninger om børnenes navne.
KL i spidsen
I Datatilsynets svar til KL skriver de også i et af eksemplerne, at kommunerne må sørge for, at den korrekte behandling af personoplysninger i det daglige arbejde understøttes såvel teknisk som organisatorisk. Det skal altså ikke være den enkelte pædagog, sundhedsplejerske eller sagsbehandler, der skal dokumentere, at de overholder reglerne.
Den udlægning er Ayo Næsborg-Andersen enig med Datatilsynet i. Burde det være pædagoger/sundhedsplejersker, der skal stå med det her ansvar?
– Nej, de skal bare have en retningslinje, om de må eller ej. Det er kommunerne, der skal lave det. Jeg hæfter mig også ved, at Datatilsynet skriver, at det var en god ide, hvis KL satte sig i spidsen for et samarbejde, så det ikke bliver håndteret forskelligt i kommunerne, siger hun.
Er det muligt at lave en form for opslagsværk?
– Man kan sige, at vi har fået starten nu med det her svar fra Datatilsynet. Jeg oplever ikke Datatilsynet som en lukket mur. De vil gerne i dialog med praksis. Jeg tænker også, at hvis KL kom og sagde, her er nogle konkrete ting, kan vi få jeres bud på det, så ville det ikke være umuligt, siger Ayo Næsborg-Andersen.
I KL er man lunkne over ideen om at skulle ansætte en lang række ekstra medarbejdere til at håndtere implementeringen.
– Vi har i forvejen ansat dataansvarlige, der skal være med til at sikre, at GDPR bliver implementeret. Men hvis Datatilsynet forestiller sig, at der skal opbygges et stort omkostningskrævende bureaukrati, så synes jeg, vi begynder at gå væk fra det, som vores statsminister har talt om med en nærhedsreform, hvor der bliver mere tid til, at den enkelte medarbejder tager sig mere af borgerne, siger Thomas Kastrup-Larsen. • frov@kl.dk