DPO’en har succes når samarbejdet spiller

Helle Ginnerup-Nielsen, koncern-DPO i Sundheds- og Ældreministeriet.
Helle Ginnerup-Nielsen, koncern-DPO i Sundheds- og Ældreministeriet. (Foto: Kasper Skaanning)

Sundheds- og Ældreministeriets koncern-DPO, Helle Ginnerup-Nielsen navigerer hver dag i en stor og omfattende sundhedskoncern med et utal af såvel interne som eksterne stakeholdere. Netværk og samarbejde er nøgleord, fortæller hun i dette interview.

Helle Ginnerup-Nielsen var i en årrække juridisk embedsmand med speciale i persondataret. Den kompetence steg betydeligt i værdi, da EU skabte persondataforordningen. GDPR blev en mulighed for at komme ud i en virkelighed, hvor den juridiske ekspertise skal bruges konkret og i et samarbejde med andre fagligheder og interessenter. Men at være DPO er et helt andet job, der kræver, at man udvikler sig på flere forskellige planer.

Persondataret på sit CV
”Jeg har en længere fortid i Datatilsynet, hvor jeg primært arbejdede med sundhedsområdet og med forskning hos offentlige myndigheder. Jeg var meget glad for at arbejde med persondataret, men før GDPR, var det ærligt talt et noget nichepræget retsområde,” fortæller Helle Ginnerup-Nielsen.

”Da GDPR tonede frem i horisonten, frygtede mange for, om de kunne blive klar til et aktivt Datatilsyn, der fik helt nye og for nogle skræmmende sanktionsmuligheder. Det var kronede dage for rådgiverbranchen, og der var mangel på kompetencer inden for persondataret.” 

GDPR åbnede vejen
”Det stod jo ligefrem i forordningen, at alle offentlige myndigheder og en del private virksomheder skulle udpege særlige databeskyttelsesrådgivere, som skulle have ekspertise i databeskyttelsesret. Det var der på det tidspunkt ikke ret mange, der havde. Det faldt også sammen med, at jeg havde fået lyst til at foretage et sporskifte i mit arbejdsliv,” fortæller hun.
 

”Da Sundheds- og Ældreministeriet søgte en koncern-DPO, var det ret klart, at stillingen matchede min profil og mine interesser perfekt, og jeg var nødt til at søge. Heldigvis blev jeg tilbudt stillingen, og jeg har ikke et øjeblik fortrudt min beslutning om at takke ja, selv om jeg godt vidste, at det var en stor mundfuld,” siger Helle Ginnerup-Nielsen. 

Omfattende job
At være koncern DPO i Sundheds- og Ældreministeriet er et temmelig stort job. Arbejdsfeltet omfatter udover departementet bl.a. datatunge institutioner som Nationalt Genom Center, Sundhedsdatastyrelsen, Statens Serum Institut, Sundhedsstyrelsen, Styrelsen for Patientklager og Styrelsen for Patientsikkerhed.

Det er dog ikke koncern-DPO’en, der står for den daglige rådgivning af medarbejdere. Den opgave ligger i første omgang hos såkaldte databeskyttelsesagenter i de enkelte institutioner, som fungerer som bindeled til DPO’en og sikrer, at hun inddrages i tilstrækkeligt omfang. Hendes opgave er at hjælpe med at sikre den overordnede GDPR-compliance i et mangesidet samarbejde med koncernens institutioner departementet og ikke mindst med Datatilsynet.

Kontaktpunkt og rådgiver 
”Som DPO skal jeg udadtil fungere som kontaktpunkt for Datatilsynet og for de borgere, der behandles oplysninger om. På de indre linjer skal jeg rådgive og overvåge, at vi gør tingene rigtigt, og at vi organiserer arbejdet på en hensigtsmæssig måde. Det kræver et veludviklet netværk både op og ned og til siden i organisationen og også eksternt.”

”Databeskyttelse er en tværfaglig disciplin, og for en DPO, der som jeg, har en juridisk baggrund, er det afgørende at kunne trække på kollegaer med ekspertise på andre områder, særligt inden for informationssikkerhed. Det har også været bydende nødvendigt, at jeg selv oparbejdede en vis forståelse, så jeg kan have meningsfuld sparring med folk, der er meget klogere på de områder, end jeg selv er,” siger Helle.

Langt fra første prioritet
”Databeskyttelsen betyder ofte, at ens kollegaer skal gøre noget ekstra, som ikke er første prioritet i deres i forvejen meget travle hverdag, så man kan let blive set som den irriterende jurist, der bare stiller krav. Det er nok en grundforudsætning i stillingen, men det er samtidig afgørende, at man som DPO forstår og forholder sig til den virkelighed og de ofte modsatrettede hensyn, som juraen skal fungere i, ellers kommer man ingen vegne.” 

”Det er jo sidste ende de medarbejdere, der står med den konkrete opgave, der også har nøglen til løse den, og det skal man have respekt for. Succes i mit job er, når samarbejdet mellem de forskellige interessenter spiller, og der ved fælles hjælp bliver skabt gode og bæredygtige løsninger”, siger Helle Ginnerup-Nielsen.

Erfaringsudveksling er guld 
”Det er ikke altid nemt, og det er guld værd at kunne udveksle erfaringer om DPO-rollen med andre i tilsvarende stillinger,” siger Helle Ginnerup Nielsen og peger på, at DPO-funktionen også er ny i Danmark og uden den store historik at trække på. 

”Jeg har heldigvis et stort og rigtigt godt netværk, bl.a. med andre DPO’ere i staten, som jeg mødes med en gang om måneden. Det er ikke så nemt med fysiske møder lige for tiden, men netværket fungerer alligevel. For eksempel i de første måneder af corona-krisen, som selvsagt også kastede en masse opgaver af til mig, så var mit netværk flinke til at sende mig hints om nyt, som var relevant på mit område, og det var faktisk en stor hjælp i en periode, hvor jeg selv havde ekstraordinært travlt og ikke havde tid til at holde mig opdateret,” fortæller Helle Ginnerup-Nielsen.

Snævert spillerum
Kunsten ligger ofte i, at mange opgaver i et ministerium ikke rummer det helt store spillerum. En politisk vedtagelse skal udmøntes, og det er selvfølgelig en bunden opgave at få den til at spille, som den skal, i henhold til et lovgrundlag.

Det er også en given ting, at der skal indsamles persondata på sundhedsområdet. Det er afgørende i mange vigtige sammenhænge så som forskning og forbedring af patientbehandling og naturligvis og omkring spredning af smitsomme sygdomme.

Robusthed kræves
”Vi har selvfølgelig et rammeværk i databeskyttelsesreglerne samt i vejledninger og praksis, men databeskyttelseslovgivningen handler i høj grad om, hvorfor og hvordan man konkret gør tingene, og at man kan dokumentere sine overvejelser. Min opgave består derfor ofte i at stille spørgsmål og hjælpe med at sikre, at svarene holder vand. Det handler ikke om, hvad jeg synes om dette eller hint, men om at forudse, hvordan Datatilsynet og i sidste ende domstolene ville vurdere de konkrete problemstillinger, vi står over for.”

”Det er grundlæggende mit lod at se og påpege, hvis noget ikke er godt nok, og det bliver man selvfølgelig ikke altid populær af. Det er en DPO nødt til at se stort på, og jobbet kræver en vis robusthed.”

Kendte fejl er et gode
Omvendt når nogen begår en fejl, så handler det ikke om at slå ned på den, der har ansvaret for fejlen, men derimod om at understøtte ansvarlighed. Databeskyttelsesreglerne indebærer, at Sikkerhedsbrud, der rummer en risiko for de registrerede, skal anmeldes til Datatilsynet, og er risikoen for de registrerede høj, skal de berørte informeres.  Derudover skal fejlkilden skal findes og elimineres. 

”Det er i den forbindelse meget vigtigt, at der er en kultur, hvor man tør være åben om fejl, og en stigning i antallet af kendte sikkerhedsbrud kan efter omstændighederne sagtens være et succeskriterium. Det kan nemlig være et tegn på, at man er blevet bedre til at opdage de fejl, der uvægerligt vil ske, og det er i sagens natur forudsætningen for, at man kan handle relevant og forebygge, at de sker igen.” siger Helle Ginnerup-Nielsen.

 

Skrevet af

Kasper Skaanning

Kasper Skaanning, Journalist

Kasper Skaanning er uddannet journalist, og har bl.a. arbejdet som senior kommunikationskonsulent i Nykredit, i Danske Bank og som informationschef i Scandlines.

Klummer

Se alle