Syv spørgsmål og svar om den nye Databeskyttelsesforordning
Vi har alle et ønske om, at vores personlige data bliver behandlet på en ordentlig måde. Både når det drejer sig om oplysninger om vores bopæl og fødselsdato, og når det drejer sig om følsomme oplysninger om religion og helbred. Det skal den nye Databeskyttelsesforordning, som træder i kraft 25. maj 2018, være med til at sikre.
Tanja Møllegaard Løvgren, jurist og chefkonsulent på Det Naturvidenskabelige Fakultetssekretariat svarer her på syv spørgsmål, som gør dig klogere på, hvad den nye forordning betyder.
Hvorfor er det vigtigt at sætte sig ind i?
– Formålet med Databeskyttelsesforordningen er at beskytte en persons oplysninger om sig selv. En person skal kunne bestemme over sine egne personoplysninger og kunne stole på, at de oplysninger offentlige institutioner og virksomheder har, bliver behandlet sikkert og kun til det formål, som de er indsamlet til. For NATs vedkommende skal både studerende og ansatte have sikkerhed for, at oplysningerne bliver behandlet forsvarligt.
Hvad er en personoplysning?
– Personoplysninger deles i to kategorier: De almindelige personoplysninger er for eksempel navn, adresse og fødselsdato, mens de følsomme personoplysninger er oplysninger om for eksempel etnisk baggrund, religiøs overbevisning og helbredsoplysninger.
Hvilke faggrupper på SDU vedrører det?
– Stort set alle. Forordningen berører ikke kun den måde, personale i administrationen behandler persondata om studerende og ansatte, men også videnskabeligt personale, som har kontakt til studerende, for eksempel via e-mail. Der kommer også nye retningslinjer for behandling af data, som bliver anvendt inden for forskning.
– Den nye forordning vedrører alle, som behandler persondata. En offentlig institution, herunder SDU, som opbevarer persondata, er dataansvarlig. Den dataansvarlige skal leve op til sit ansvar om at passe på de personoplysninger, som denne er blevet betroet. Det betyder, at SDU først og fremmest skal have styr på, hvilke personoplysninger SDU har, og hvordan oplysningerne bliver brugt. Herefter skal den dataansvarlige sikre, at personoplysningerne opbevares sikkert og ikke i længere tid end nødvendigt, samt at oplysningerne kun bliver brugt til det indsamlede formål.
– Inden maj 2018 skal alle medarbejdere på SDU være bekendt med en række nye procedurer, som skal sikre korrekt, sikker og effektiv datahåndtering.
Hvad skal fakultetets medarbejdere især være opmærksomme på?
– Det mest skelsættende i den nye databeskyttelsesforordning er, at vi skal have bedre overblik over, hvor vi har persondataoplysninger, og hvordan vi behandler dem. Vi har en del eksempler på, at data om for eksempel tidligere ansatte bliver opbevaret i for mange år, og at dataene befinder sig i systemer, som vi mangler overblik over.
Hvad gør vi på SDU?
– Vi er i fuld gang med at sikre, at vi som uddannelses- og forskningsinstitution lever op til de krav, Databeskyttelsesforordningen stiller. På SDU er nedsat en styregruppe, og IT-service fungerer som tovholder for processen. Ansvaret for implementeringen ligger hos de enkelte fakulteter.
– IT-service har delt processen i tre led:
- Beskrivelse af de systemer og processer, hvor vi i dag behandler persondata
- Identificering af hvor vi ikke opfylder kravene til behandling af persondata
- Implementering af processer og systemer, der sikrer at vi opfylder kravene
Hvad sker der helt konkret på fakultetet?
– På SDU behandler vi persondata inden for tre områder: administration, uddannelse og forskning. Vi arbejder lige nu med beskrivelse af systemer og processer på alle tre områder. Det arbejde er i gang på fakultetssekretariat og på institutterne i øjeblikket. Vi skal være færdige ved udgangen af november, hvorefter vi tager fat på identificering af de områder, hvor vi ikke opfylder kravene.