Region Syddanmark: Ny vejledning fra Datatilsynet udvider gråzonen i GDPR-arbejdet

OUH
Odense Universitetshospital i Region Syddanmark Illustration: OUH. Se større version
I Region Syddanmark kæmper man - ligesom kommunerne - også med databehandleraftaler. Derfor er det problematisk, når Datatilsynets nye vejledning nogle steder gør GDPR-arbejdet endnu sværere, fortæller afdelingschef i regionen.
30. november 2021 kl. 05:00
errorÆldre end 30 dage

Region Syddanmark vil gerne overholde GDPR, men det kan være en meget svær opgave, når man skal afgøre rollefordelingen af dataansvarlige, databehandlere og tredjeparter, fortæller Nicolai Arvedsen, afdelingschef for IT Styring og Informationssikkerhed i regionen.

Derfor har man ligesom kommunerne, som KL’s chefkonsulent, Pernille Jørgensen, fortæller om i denne tilknyttede artikel, problemer med at afgøre, hvornår regionen skal indgå en databehandler med en privat leverandør.

Læs også: Efter Datatilsynets nye vejledning: Kommunerne kæmper fortsat med databehandleraftaler

Men der er hjælp at hente hos Datatilsynet, som er kommet med en ny vejledning på området. Det er generelt positivt, at tilsynet arbejder på at hjælpe det offentlige, mener Nicolai Arvedsen, men det nye tiltag er med til at udvide gråzonen for, hvornår man skal have en databehandleraftale:

»Jeg forstår godt, at det er case by case, men jeg er i tvivl om, hvorvidt vejledningen hjælper os. Jeg synes det er vigtigt at få lavet en vejledning, og jeg synes det er vigtigt, man bliver mere præcis i de her eksempler. Men hvis vi i dagligdagen skal kigge på det, så synes jeg egentlig bare, man har udvidet gråzonen med den her vejledning,« understreger han.

Gråzonen

Afdelingschefen henviser til eksempel 11 i den nye vejledning, som handler om en it-supporters adgang til personoplysninger i en kommune.

Hvis det er forventeligt, at han tilgår persondata i sin supportfunktion, skal der laves en databehandleraftale, mener Datatilsynet, men hvis ikke det er noget, man kan forudse, skal man blot bede ham om at underskrive en fortrolighedserklæring eksempelvis.

Nicolai Arvedsen
Nicolai Arvedsen, afdelingschef for IT Styring og Informationssikkerhed i Region Syddanmark. Illustration: Kenneth Højlund @lightboxstudio. Se større version

»Når vi laver en aftale med en leverandør om support, kan vi ikke nødvendigvis forudsige, hvilken type oplysninger, der forventeligt kan komme ind i support-sager – det ved vi jo ikke,« understreger Nicolai Arvedsen og fortsætter:

»Skal vi så indgå en databehandleraftale og bruge tid og ressourcer på dét for at være på den sikre side? Eller skal vi starte med at sige: ‘Vi vurderer egentlig ikke, at leverandøren er databehandler?’«

Det er svært at afgøre, hvor mange tilfældige gange, man skal se igennem fingrene med, at en supporter ser personoplysninger, før der skal være en databehandleraftale. Derfor er eksemplet i vejledningen med til at forvirre regionen yderligere, uddyber afdelingschefen.

»På en række områder stiller vejledningen os bedre, for der kan vi gå ind konkret og se: Her kan vi gøre noget. Men der er også nogle af de eksempler, der er med i vejledningen, som dybest set bare udvider gråzonen,« siger han.

Et stort arbejde

Det er problematisk, mener Nicolai Arvedsen, for det er vigtigt for regionen at kunne afgøre præcist, hvornår der bør være en databehandleraftale, så der ikke sker en overimplementering. Det koster nemlig mange ressourcer:

»Det er jo et ret stort arbejde at sætte i gang med at lave databehandleraftalerne, og det er også vanskeligt for leverandørerne. De skal bruge om muligt lige så mange ressourcer på at svare på vores spørgsmål og forholde sig til måske noget, der er et hypotetisk tilfælde, eller som forekommer én gang.«

Han vurderer, at det tager mellem én og tre måneder ekstra, hver gang der skal laves en databehandleraftale med en leverandør sammenlignet med, når det er tilstrækkeligt, at leverandøren underskriver en fortrolighedserklæring.

»Man skal virkelig ind og vurdere, hvad der er behov for. Hvis vi først begynder at lave nye databehandleraftaler og skal følge op på dem, skal vi forlange revisionserklæringer og meget andet fra leverandøren, som skal beskrive, at de kan behandle oplysningerne fortroligt,« siger han.

Men selvom det kræver mange ressourcer, skal regionen måske i gang med flere databehandleraftaler ifølge Datatilsynets eksempel 11 om support-adgang:

»Vi arbejder i sundhedssektoren. Jeg tror stort set ikke, vi har nogle systemer, der ikke indeholder helbredsoplysninger – altså følsomme personoplysninger,« siger afdelingschefen og spørger:

»Skal vi så have databehandleraftaler med alle leverandører for det tilfældes skyld, at de skulle støde på sådan en oplysning i forbindelse med, de løser en anden opgave? – Det synes jeg er svært.«

Stærkere dialog

Selvom man er i dialog med Datatilsynet, kunne Regions Syddanmark godt tænke sig lidt bedre adgang til myndigheden fremover, for lige nu er den lidt »asymmetrisk«, fortæller Nicolai Arvedsen:

»Jeg anerkender, at der er et stort arbejdspres i Datatilsynet, så der kan godt være lidt forsinkelse på, hvornår de har mulighed for at svare,« siger han og fortsætter:

»Vi har nok ikke så tilstrækkelig stærk en dialog, vi gerne vil have, i forhold til de meget konkrete tilfælde, hvor det bliver svært.«

Han efterspørger en Q&A-session, hvor regionen har mulighed for at stille spørgsmål til eksemplerne i den nye vejledning. Det er specielt vigtigt i de grænsetilfælde, hvor han oplever, der er en gråzone i forhold til GDPR-kravene.

»Vi skal sammen finde vejen i det her. Men jeg tror, at måden at blive endnu bedre til at finde vej på, netop er at arbejde med, om vi kan få lejlighed til at stille de her spørgsmål.«

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i den videnskabelige debat.