Annonce
Annonce

Data Protection Officer. Hvordan ser sådan en ud?

”Der er sådan cirka nul i Danmark med den profil.”
Klaus Kongsted, Chief Relations Officer hos it-sikkerhedsfirmaet Dubex, er ikke i tvivl. Profilen som Data Protection Officer (DPO) eller databeskyttelsesofficer er en unik profil, som der ikke findes mange af i Danmark. Det er den nye EU-persondataforordning, som stiller krav om, at alle offentlige myndigheder samt virksomheder, hvis kerneforretning kræver behandling af følsomme personoplysninger, skal have en DPO.

”De skal have viden om juraen i forordningen, de skal have en rimelig viden om it-sikkerhed, og så skal de kunne rådgive og tale med topledelsen og de andre afdelinger i organisationen.” Sådan beskriver Klaus Kongsted den nye DPO-rolle, som en række virksomheder skal have på plads senest maj 2018, når det nye regelsæt fra EU træder i kraft.

Samarbejde med advokatfirma
En DPO’s unikke kombination af juridisk kompetence og it-sikkerhedsmæssig flair betyder, at det ofte er nødvendigt med to forskellige personer for at dække en DPO’s kompetencefelt.
Derfor har Dubex allieret sig med advokatselskabet Delacour, når der skal laves eftersyn af danske virksomheders parathed til at efterleve persondataforordningen fra EU.

”Vi har haft indledende snak med 30-40 virksomheder, og egentlig konsulentarbejde er i gang hos 10-12 stykker med gap-analyser,” fortæller Klaus Kongsted om Dubex’ samarbejde med Delacour.
En it-sikkerhedsmand fra Dubex og en jurist fra Delacour udarbejder sammen en gap-analyse, som afdækker, hvor virksomhedernes datasikkerhed er i dag set i forhold til kravene fra det nye regelsæt fra EU.

Oplæring via rådgivning
Det sker blandt andet ved at se på dataflow i virksomheden; først fra en teknisk vinkel, hvor datakilder identificeres og dataflow mellem interne og eksterne systemer beskrives. Derefter foretages en juridisk analyse.

”Vi gennemgår dataflowet, så det bliver en egentlig auditering. Hvilke slags data er der tale om, hvilken behandling udsættes de for, hvad transformeres de til, flyder de til eksterne systemer, holdes de inden for EU’s grænser og så videre,” forklarer Klaus Kongsted.
Virksomhederne er klar over, at de har brug for at erhverve sig den viden, som Dubex og Delacour stiller til rådighed, så de selv på sigt kan sikre sig, at datasikkerheden overholder forordningen fra EU.

”Det er et krav fra kunderne, at en IT-mand eller en jurist fra dem følger med i vores arbejde, så vi kan lave en sidemandsoplæring via vores konsulentarbejde,” siger Klaus Kongsted.
Sammen med Delacour er Dubex også begyndt at afholde DPO-kurser, så danske virksomheder kan komme i gang med forberedelserne til at efterleve det nye regelsæt fra EU.

Gensidig respekt efter kursus
”Vi gennemførte det første uddannelsesprogram for et hold DPO’er for en måneds tid siden,” oplyser Klaus Kongsted, der tilføjer, at kurset ikke kun er tiltænkt virksomheder, hvis kerneforretning baserer sig på behandling af personfølsomme oplysninger og følgelig skal have en  DPO. Alle virksomheder skal efterleve kravene fra den europæiske persondataforordning, også selvom virksomhederne ikke har en decideret DPO ansat.
Der var omkring 15 mand fra forskellige virksomheder, som gennemførte et fire-dages uddannelsesprogram med vægt på IT-sikkerhed og jura. Cirka halvdelen af deltagerne var teknikere og den anden halvdel jurister. Udover at kursisterne bliver klædt på til rollen som DPO, lærer de to faggrupper også mere om hinandens arbejde og ansvarsområder.

”Vi gennemgår juridiske grundbegreber, hvor juristerne sidder og smågaber, mens teknikerne er helt blanke og siger hold da op. Næste dag er det omvendt. Hold da op, hvor mange akronymer, det fatter vi minus af, siger juristerne,” fortæller Klaus Kongsted om det første kursus.
”Begge faggrupper har måske betragtet ­hinanden som en hæmsko for deres r­espektive arbejde, men nu får de respekt for hinandens arbejde,” siger Klaus Kongsted