ODM-kurser klæder mere end 100 museumsansatte på til at håndtere EU’s stramning af persondatareglerne.
”Persondatareglerne, så let som at tælle til 10 🙂 ”. Sådan står der øverst på advokat Jacob Georg Naurs PowerPoint-præsentation, som åbner det ODM-kursus, hvor han klæder museumsansatte på til at tackle den nye persondataforordning, der træder i kraft den 25. maj.
Det glade budskab på Power-Pointen skal være med til at mane mange museumsansattes frygt til jorden ”eller kvalificere den”, som Jacob Georg Naur præciserer det.
Endnu et tungt administrationslag?
”Medierne har skrevet en del om de store bøder, man risikerer at blive pålagt. Så museerne har været meget opmærksomme på den nye dataforordning. Jeg havde også forventet, at vi her på museet skulle gennem store ændringer, men kurset var med til at afmystificere mine forestillinger. Den nye forordning stiller ikke så mange krav til os, som jeg frygtede,” fortæller Karin Berg Larsen, Regnskabschef og HR-ansvarlig på Naturhistorisk Museum i Aarhus.
Hun er en af de mere end 100 danske museumsansatte, der har deltaget i ODM-kurset.
”Oveni statens årlige 2 procent-besparelser og andre udfordringer skal de museumsansatte også forholde sig til endnu et administrationslag. Det bekymrer mange. Den nye forordning betyder mere arbejde for museerne, men arbejdet er heldigvis ikke så omfattende, som mange frygter,” understreger Jacob Georg Naur.
Tungt dokument bliver til anvendeligt værktøj
I sin originale form er forordningen et meget langt dokument uden indholdsfortegnelse og stikordsregister. Det indledes med en præambel bestående af 173 afsnit uden overskrifter – og fortsætter herefter med 99 artikler, der indeholder de nærmere regler om personoplysninger. Målet med ODM-kurset er at få persondataforordningen bragt ned og præsenteret på et niveau, der gør den til et praktisk anvendeligt redskab, som ikke overbebyrder de museumsansatte unødigt.
For museerne gælder det primært om at forholde sig til to områder; personaleadministration og beskyttelse af persondata i museernes samlinger. Under kurset zoomer Jacob Georg Naur specifikt ind på de artikler i forordningen, der forholder sig til det, der berører museerne. Blandt andre forordningens artikel 13, som vedrører oplysningspligten. Artikel 28, som gennemgår reglerne for databehandleraftaler og artikel 30, der beskriver såkaldte ’fortegnelser over behandlingsaktiviteter’. Fortegnelser er en institutions egen-erklæring, en slags opgørelse over hvordan, hvor og hvilke persondata man opbevarer. Hvorfor man opbevarer dataene, og hvordan man beskytter dem. Karin Berg Larsen sætter stor pris på de konkrete anvisninger kurset gav hende for, hvordan museet skal leve op til de nye krav.
”Kurset gjorde mig for eksempel opmærksom på, at vi som museum skal kunne dokumentere, at vores leverandører ikke sender data udenfor Europa. At vi skal kortlægge, hvor vores data ligger, huske at slette data om eksempelvis tidligere medarbejdere, og at vi skal sikre os, at vores kunder og leverandører også overholder reglerne,” fortæller hun.
Frygtede minutiøs gennemgang af 800 hyldemeter
En anden kursist, samlingsansvarlig på Helsingør Kommunes Museer Peter Christensen har også fået en klarere idé om, hvor og hvordan han skal gøre en indsats. Museernes lokalhistoriske arkiv råder over en meget omfattende samling arkivalier fra enkeltpersoner, foreninger og virksomheder, som altid har været åben for folk. Før kurset frygtede han, at den nye forordning ville betyde, at museet skulle gennemgå og sortere papirerne i samtlige arkivkasser, som fylder intet mindre end 800 hyldemeter. Han var også bange for, at de var nødt til at oprette to forskellige registre; Et åbent og offentligt register renset for persondata og et lukket internt register med persondata, som kun museets ansatte havde adgang til. Men på kurset fandt han ud af, at museets ansatte kan nøjes med at tjekke arkivets register og derigennem sikre, at de ikke udleverer ulovlige persondata til borgerne.
”Når slægtsforskere og andre gæster har besøgt arkivet, har vi indtil for nyligt sat arkivkasserne åbent frem, medmindre de indeholder klausulerede data. Fremover skal vi tjekke registret, før vi giver besøgende adgang. Så for os handler det primært om at ændre nogle daglige interne rutiner,” siger han.
Han ærgrer sig dog over, at persondataforordningen har betydet, at de har måttet lukke for den frie adgang til den del af arkiverne, som indtil nu kunne tilgås fra byens bibliotek. Fremover skal borgerne rette henvendelse til museet, hvis de ønsker at grave i de dele af arkiverne.
Afventer Slots- og Kulturstyrelsen og Datatilsynet
Ifølge Jacob Georg Naur klæder kurset de museumsansatte 75 procent på til at forstå og følge de nye regler. At han ikke kan forberede dem 100 procent skyldes primært, at Datatilsynet, Slots- og Kulturstyrelsen og andre myndigheder endnu ikke har meddelt, hvordan dele af forordningen skal omsættes i praksis, og hvilke love den berører.
I forordningen findes der eksempelvis kun en artikel, der forholder sig til beskyttelse og håndtering af persondata i museernes samlinger.
”Artikel 89 er en fin artikel, som giver en overordnet forståelse, men den er meget lidt anvendelig. Hvordan museerne skal fortolke og anvende den må afhænge af, hvad Slots- og Kulturstyrelsen melder ud,” siger Jacob Georg Naur.
På kurset retter han også fokus mod, hvordan museerne skal behandle persondata i de centrale museale registreringssystemer REGIN og ARKIBAS og det nye system SARA, som stadig lader venter på sig. Og de drøfter, hvorvidt det enkelte museum har brug for en databeskyttelsesrådgiver også kaldet en DPO, som er ansvarlig for, at museet overholder persondataforordningen.
”Hvorvidt museet har brug for en DPO afhænger af, af museets størrelse, og hvorvidt museet er kommunalt, privat, statsligt eller statsanerkendt. Vi ved eksempelvis ikke, om Slots- og Kulturstyrelsen påtænker at stille en DPO til rådighed for museerne, eller om de enkelte kommuner planlægger en lignende service overfor museerne.” fortæller Stine Folkenberg, ODM’s kursussekretær, som følger udviklingen tæt.