Dataskyddsansvariga behöver mer arbetstid

I början av året genomfördes den årliga enkäten bland verksamhetsenheter för social- och hälsovård samt apotek som anslutit sig till Kantas Recepttjänst. I organisationerna anser man att dataskyddsarbetet är ytterst viktigt, men det framkom tydligt i enkäten att de dataskyddsansvariga har för lite tid för att utföra sin uppgift.

"Det är väldigt positivt att man i organisationerna anser att dataskyddsarbetet är ytterst viktigt.  Tyvärr kan det praktiska utförandet av arbetet bli lidande på grund av resursbrist," säger Tiina Apponen som är dataskyddsansvarig för Kanta-tjänsterna.

Arbetstiden räcker inte till för uppgiften

Varje organisation som anslutit sig till Recepttjänsten har en dataskyddsansvarig, på vilken det ankommer att övervaka och följa behandlingen av uppgifter som lagrats i Receptcentret och behandlingen av personuppgifter. Ändå är det bara i ett fåtal organisationer som den dataskyddsansvariga kan fullgöra sin uppgift som huvudsyssla. Av enkätresultaten framgår att uppgiften som dataskyddsansvarig i regel utförs vid sidan av övriga arbetsuppgifter. I organisationen kan det också vara oklart vad som ingår i den dataskyddsansvarigas uppgifter.

”Den dataskyddsansvariga har små möjligheter att lägga arbetstid på uppgiften, och ändå är arbetsfältet brett. Särskilt inom den offentliga sektorn har man märkt att arbetstiden inte räcker till för uppgiften”, säger Tiina Apponen.

Hur förbättra arbetssituationen för den dataskyddsansvariga?

För att dataskyddsarbetet ska kunna organiseras på ett bra och framgångsrikt sätt krävs det framför allt att ledningen engagerar sig i arbetet. När ledningen engagerar sig i att organisera organisationens dataskyddsarbete och avdelar resurser för detta blir det lättare att fullgöra uppgiften som dataskyddsansvarig. 

”Under de senaste åren har man fokuserat på att öka ledningens medvetenhet om att behörigheten som dataskyddsansvarig ska innehas av en person som inte representerar ledningen. Budskapet är att den dataskyddsansvariga ska ha tillräckligt med tid för att fullgöra sin uppgift.

På basis av enkätresultaten utarbetas förslag till åtgärder för att stödja och utveckla dataskyddsarbetet i organisationerna. Till varje sektor skickas ett brev med respons på enkätresultaten. Brevet innehåller anvisningar om hur man i organisationen kan påverka de olägenheter som framkommit och utveckla dataskyddsarbetet.

”Dataskyddsenkäten är inte bara ett övervakningsverktyg för den registeransvariga utan också ett verktyg med vilket organisationerna kan utveckla sin verksamhet inom dataskyddsarbetet”, säger Tiina Apponen.

Dokumentationen skulle kunna förbättras

I dataskyddsenkäten går man igenom den dataskyddsansvarigas befattningsbeskrivning, de skriftliga anvisningarna och uppgörandet av dem, förankringen av de skriftliga anvisningarna bland personalen samt utbildningen av personalen, uppföljningen och övervakningen av behandlingen av uppgifter i Receptcentret, planen för egenkontroll och inställningen till dataskyddsfrågor.

Lagen kräver att det ska finnas en plan för egenkontroll, och en sådan plan har nästan utan undantag gjorts upp i alla organisationer. Med hjälp av de anvisningar och dokument som samlats i planen för egenkontroll utvecklar, upprätthåller och följer man hur informationssäkerheten och dataskyddet genomförs i organisationen. Enkätsvaren visar emellertid att även om man i organisationen har gjort upp en plan för egenkontroll, är det inte säkert att man har gjort upp alla de skriftliga anvisningar eller dokumentationer som hör till denna plan. Planen för egenkontroll kräver kontinuerlig uppföljning och uppdatering. 

”Svaren visar att det finns saker att bättra på inom de olika delområdena av enkäten, och de dataskyddsansvariga stöter år efter år på samma problem när de sköter dataskyddsarbetet. De dataskyddsansvariga sköter sin uppgift bra. Det är fullt möjligt att höja resultatet till hundra procent inom alla delområden av enkäten, men det kräver att ledningen aktivt engagerar sig.”

Läs mer om dataskyddsenkäten och enkätresultaten efter sektor