I jobopslag efter jobopslag søges der for tiden efter en helt ny type medarbejder: en såkaldt databeskyttelsesrådgiver – ofte bare forkortet DPO fra den engelske titel Data Protection Officer. En søgning på den specifikke stillingsbetegnelse ‘databeskyttelsesrådgiver’ på Jobindex.dk tirsdag i sidste uge gav f.eks. 14 match med ledige stillinger.

De ivrige og meget specifikke medarbejdersøgninger er der god grund til. Den 25. maj, når EU’s nye persondataforordning træder i kraft, er det nemlig et krav for alle offentlige myndigheder og for enkelte private virksomheder, at de skal have en databeskyttelsesrådgiver ansat.

Stillingen er et af de centrale krav i EU’s nye og gennemgribende persondatalovgivning, der snart får virkning i alle medlemslandene efter mere end seks års politisk tilløb. De nye databeskyttelsesrådgivere skal som en slags datafokuserede tillidsmænd rådgive og vejlede organisationer i hele EU om de nye databeskyttelsesregler, så borgernes persondata ikke bliver misbrugt.

Samlet set er ideen, at databeskyttelsesrådgiverne dermed vil hjælpe med at forankre en kultur for ansvarlig databeskyttelse i de enkelte organisationer og dermed i hele samfundet, siger Christian Wiese Svanberg, der er dansk politis DPO og databeskyttelseschef hos Rigspolitiet. Han har været ansat i Rigspolitiet i knap to år, og siden 1. maj sidste år har han haft rollen som DPO.

Indledningsvis starter Christian Wiese Svanberg dog med at affeje en udbredt misforståelse om den nye persondataforordning og dermed om den nye tjans som databeskyttelsesrådgiver.

“Noget, man hører meget ofte, er, at borgerne nu selv ejer deres data. Det er grundlæggende en misforståelse. Det er ikke det, det handler om. Det ville hurtigt blive umuligt at føre sådan noget som et kriminalregister eller et kundekartotek, hvis den enkelte ‘ejede’ oplysningerne. Men de nye regler afspejler et klart politisk ønske om, at man ikke glemmer individerne og deres rettigheder i den digitaliserede virkelighed, vi lever i,” siger han og uddyber:

“Den gode DPO er derfor en person, der fuldt ud anerkender, at det er legitimt at bruge og behandle persondata til at løse organisationens opgaver. Vedkommende skal loyalt og objektivt rådgive ledelsen om databeskyttelsesreglerne og så måske en gang imellem hejse et advarselsflag, hvis der er en risiko for at bryde nogen af de her regler,” siger Christian Wiese Svanberg, der er uddannet jurist og har en fortid som både advokat, embedsmand og databeskyttelsesindpisker hos Datatilsynet.

Siden 2016 har han opbygget en helt ny databeskyttelsesenhed i politiet med i alt 11 medarbejdere, der skal hjælpe de 12 politikredse og Rigspolitiet. Og grunden til, at det fylder så meget i politiet, er åbenlys.

“Databeskyttelse er jo helt centralt for politiet, som man f.eks. kan se, hvis man kender mængden af registre, vi har adgang til både nationalt og internationalt, eller ser på typen af meget følsomme personoplysninger, som alle dele af politiets arbejde er baseret på,” siger Christian Wiese Svanberg.

“Politiet har utroligt meget data, og modsat andre myndigheder, som ikke nødvendigvis har behov for at kende de personlige detaljer bag de data, de arbejder med, skal politiet jo kunne finde alt relevant om den person, man f.eks. er i gang med at efterforske,” siger han.

Og det er helt legitimt, understreger han. Det forventes ligefrem, at politiet effektivt og intelligent gør brug af registre i arbejdet med at opklare forbrydelser i samfundet. Der følger bare et stort ansvar med.

“Samfundet har en meget stor tillid til politiet. Men med den tillid følger også et stort ansvar for, hvordan vi behandler og beskytter de oplysninger om borgerne. Det er det, jeg arbejder med,” siger Christian Wiese Svanberg.

Opdatering af beskyttelse

Efter knap to års arbejde på Rigspolitiets indre linjer kan Christian Wiese Svanberg konstatere, at medarbejderne allerede har en god forståelse for vigtigheden af at beskytte borgernes personoplysninger.

“Ønsket fra EU-lovgiverne med de her nye regler har jo været at sikre en kulturændring med større opmærksomhed på de her databeskyttelsesregler i praksis. Men i politiet er det nok ikke ligefrem en grundlæggende kulturændring, vi er i gang med at udrulle. For der er allerede en god forståelse for, at man skal passe godt på folks persondata,” siger Christian Wiese Svanberg og fortsætter:

“Det har været meget bekræftende at opleve, at der er en stor forståelse for, at det her med persondata er vigtigt. Jeg tror stort set alle herinde anerkender, at vi har et særligt ansvar, fordi vi har fået nogle særlige redskaber at trække på,” siger han.

Arbejdet har indtil videre derfor ikke så meget været at ændre kulturen i politiet som at opdatere medarbejderne i alle dele af organisationen på de nye regler.

“Vi har haft travlt med at udbrede og opdatere kendskabet til de nye regler og finde ud af, hvordan man især fremadrettet bedst muligt kan leve op til reglerne, når vi f.eks. tager nye it-systemer i brug. Vi har også håndteret et par klagesager og kritik fra Datatilsynet. Det ligger også i arbejdet. Men hovedopgaven har været at opbygge en kritisk masse af relevant ekspertise, der kan hjælpe dasnk politi med at blive opdateret på regler og principper for god databehandling,” siger han.

Det skal mange andre organisationer og myndigheder nu også have bedre styr på. Men i arbejdet som DPO er det vigtigt, at man ikke mister forståelsen for organisationens kerneopgave, advarer han.

“Man skal være meget opmærksom på, at man som nyansat DPO’er ikke forsøger at arbejde imod den organisation, man er en del af. Det kræver, at man anerkender årsagen til, at organisationen overhovedet behandler personoplysninger. Uanset om man sælger søm og skruer eller forsøger at fange it-forbrydere, så findes organisationen jo af en helt anden årsag end det at efterleve disse regler.”

“Det skal man bare huske på, når man som DPO kommer rundt og taler om databeskyttelse. Det dur ikke, hvis man råber op om bøder og dunker folk i hovedet og vælter kerneforretningen. Du bliver nødt til at rådgive ind i den praktiske virkelighed, folk sidder med,” siger han.

Mindre kontrol, mere ansvar

Christian Wiese Svanberg er ikke selv politimand, men han kender organisationen gennem flere års arbejde i Justitsministeriet suppleret med et par års ansættelse hos Datatilsynet, der som myndighed har til opgave at holde øje med andre myndigheders og virksomheders overholdelse af persondatalovgivningen.

Men netop Datatilsynets rolle som databeskyttelsens ’politimand’ bliver ændret med de nye regler, forklarer Christian Wiese Svanberg.

“Ideen er, at man vil gå fra et system, hvor datatilsynet havde en form for politimandsopgave med selv at finde dem, der overtrådte reglerne, til et nyt system, hvor opgaven og ansvaret for overholdelsen af reglerne i meget større grad forankres hos de enkelte organisationer,” siger han.

Med de nye regler er grundtanken med andre ord, at det er den enkelte organisation, der med hjælp fra sin DPO skal være ansvarlig for behandlingen af persondata. Og derfor bliver en af databeskyttelsesofficerens opgaver også at få organisationen til at dokumentere, at man overholder reglerne. Se tekstboks.

En anden del af motivationen bag det nye system er, at overholdelsen af persondatareglerne generelt skal styrkes.

“Konstateringen fra politisk side var, at de gamle regler simpelthen ikke blev efterlevet godt nok,” siger Christian Wiese Svanberg.

Det har der også været eksempler på i politiet, medgiver han. Senest i 2016, da Datatilsynet i sit tilsyn konstaterede en række kritisable forhold, herunder at Rigspolitiet ikke havde levet op til persondatalovens krav om at indhente tilladelse, inden man overførte personoplysninger til tredjelande.

“Det er ambitionen, at vi ikke længere skal have den slags kritik fra Datatilsynet. Men jeg kan desværre ikke give nogen garanti for, at der ikke vil ske fejl fremover. Det kan man ikke, når det i sidste ende er menneskeligt arbejde, der ligger bag. Men jeg kan love, at vi vil gøre alt, hvad vi kan, for at leve op til den tillid, samfundet har givet os.”

Den opgave kommer kun til at vokse, efterhånden som data bliver et mere og mere centralt redskab for det moderne politi. Databeskyttelsen skal holdes i hævd selv med de nye teknologiske landvindinger inden for f.eks. brug af big data i politiefterforskningen, automatiseret nummerpladegenkendelse eller med nye former for intelligent samkøring af registre. Et af politiets nyeste værktøjer er systemet POL-INTEL, der kan samkøre og analysere mange af politiets oplysninger om borgerne i én samlet platform, i stedet for at man er nødsaget til at slå op i mange forskellige registre. Sådan et redskab er smart, men udløser krav.

“De krav, som samfundet stiller til os, og den udvikling i måden, der opklares forbrydelser på med håndtering af store datamængder, gør det bare endnu vigtigere, at vi får oplyst og uddannet medarbejderne om, hvordan de skal passe på de oplysninger, vi behandler. Det kommer uden tvivl til at fylde mere i det moderne politi, at man har styr på det her,” siger Christian Wiese Svanberg.