Som Data Privacy Manager i TDC skal Ghita Njor dokumentere, hvordan TDC’s it-systemer og processer lever op til EU’s persondataforordning, der trådte i kraft i maj 2018, og arbejde henimod, at privacy bliver en del af virksomhedens dna.
- I teorien er GDPR meget sort og hvidt, men i praksis er det et utal af grå nuancer, fordi det er meget komplekst at omsætte EU’s persondataregler fra papir til virkelighed. Der skal udvikles it-systemer, der lever op til GDPR og de skal implementeres, og vi skal sikre, at arbejdsgange, hvor der indgår persondata, er GDPR compliant, siger informationsspecialist Ghita Njor, der i juni 2018 blev ansat i TDC, landets største televirksomhed med 8.000 ansatte, i en stilling som Data Privacy Manager (DPM). Tværfaglighed er derfor et nøgleord for at indfri de nye restriktive krav om at beskytte personfølsomme oplysninger. I TDC er der ansat tyve DPM’er, der er en blanding af jurister, it-udviklere og Ghita Njor som informationsspecialist. De er fordelt over hele virksomheden, så der er en DPM i hver afdeling, for eksempel i You See, i Telmore og i Erhverv. Ghita Njor sidder i afdelingen Digital, hvor nye digitale tilbud udvikles.
- DPM’erne har ret travlt, så det kan sagtens være, at der på sigt bliver ansat mere end én pr afdeling. I Digital er det for eksempel allerede besluttet at udvide privacy teamet, så vi bliver tre i alt, siger Ghita Njor, der er blevet overrasket over, hvor mange bibliotekariske kernekompetencer, hun bruger i jobbet som DPM.
- Mit job er umiddelbart langt fra et klassisk bibliotekarjob, men jeg bruger blandt andet min viden om formidling, dokumentation, informationsstruktur og dataflow, siger Ghita Njor. Som Data Privacy Manager skal hun blandt andet sikre, at det dokumenteres, hvordan systemerne opfylder GDPR. Derfor skal de overvejelser og beslutninger, der træffes undervejs i udviklingen af systemerne, gemmes. Det kan være data om, hvornår og hvordan oplysninger om brugerne indsamles, opbevares, bruges og slettes. Sletning af data er en væsentlig del, da man ifølge GDPR kun må opbevare data, så længe det er nødvendigt for at opfylde formålet med dataindsamlingen og -behandlingen. Ghita Njor skal desuden skabe en datastruktur i dokumentationen og være med til at vurdere, hvilke systemer der skal bruges.
- Mængden af dokumentation vokser hurtigt, fordi ingen endnu ved, hvor meget eller hvor lidt dokumentation lovgivningen egentlig kræver, fordi der endnu ikke er faldet domme indenfor GDPR-lovgivningen, siger Ghita Njor, der også fik ansvaret for TDC’s applikationskatalog, da hun blev ansat. Det vil sige listen over mere end 800 it-systemer, der bliver brugt i virksomheden.
- Igen en opgave der falder ind i mine kompetencer. Jeg skal skabe ensartethed i dokumentationen af systemerne og sikre bedre datakvalitet. Udfordringen er, at ting tager tid i så stor en virksomhed. Vi skal gennem mange diskussioner, før vi for eksempel vælger et nyt system.
MOMENT - YOUNG DIGITALS
Ghita Njor blev ansat i TDC ti uger efter, at hun havde forsvaret sit speciale på INF. Hun søgte gennem vikarbureauet Moment, der har specialiseret sig i job til unge nyuddannede.
Jeg kom i konsulentnetværket Young Digitals, som er unge under uddannelse eller nyuddannede med en it-faglighed. Jeg var selv i tvivl, om jeg passede ind i den gruppe, men Moments argument var, at mine kompetencer var som brobygger mellem brugere og teknik. Det var gennem dem, jeg så opslaget hos TDC som Data Privacy Manager, og det talte lige ind i mit speciale. Jeg blev ansat i en tre måneders prøvestilling og blev derefter forlænget i tre måneder, men to uger inde i den nye kontrakt tilbød de mig en fast stilling.
For Ghita Njor og hendes kolleger er der en stor formidlingsopgave i at skabe opmærksomhed omkring GDPR i virksomheden og gøre privacy til en del af TDC’s dna.
- Det kræver en kulturændring at tænke beskyttelse af persondata ind i alt, hvad vi laver. I lovgivningen er der et krav om privacy by design, hvilket betyder, at beskyttelse af personfølsomme oplysninger skal tænkes ind i udviklingen af nye produkter. Derfor er vi med som rådgivere i hele processen. Og det bliver ikke altid modtaget lige positivt, for det er jo ekstra opgaver for kollegerne, at de skal tænke nye krav ind i deres arbejdsgange og gøre tingene på nye måder, siger Ghita Njor, der ser det som nødvendigt, at hun og kollegerne selv brænder for privacy og beskyttelse af persondata, fordi der skal kæmpes lidt.
- Hvis man vil have andre til at ændre adfærd, er det afgørende, at man selv tror på vigtigheden af det, som man beder sine kolleger om, siger hun. Derfor var TDC’s tilgang til privacy afgørende for, at Ghita Njor søgte jobbet.
- TDC har valgt at se GDPR som noget, der kan styrke forretningen, fordi det er et konkurrenceparameter, at de gør en ekstra indsats for at passe på folks personfølsomme data, siger Ghita Njor. Desuden har TDC valgt at give DPM’erne tillidsmandsbeskyttelse, så de ikke kan fyres for udførelsen af deres opgaver, der kan kræve, at de beder kollegerne om ekstra dokumentation eller siger nej til en leder.
- Jeg blev spurgt til jobsamtalen, om jeg kunne sige nej til min chef eller en direktør. Mit svar var, at jeg ser det som et spørgsmål om at kunne argumentere for sit faglige ståsted. Jeg har ikke sagt nej til noget endnu, men jeg har vejledt i alternative metoder om håndtering af data.
Hvis man vil have andre til at ændre adfærd, er det afgørende, at man selv tror på vigtigheden af det, som man beder sine kolleger om.
Ghita Njor ser GDPR og privacy som et oplagt område for bibliotekarer og informationsspecialister at bevæge ind på, fordi det netop er komplekst og kræver »brobyggere«, der både har en teknisk systemforståelse og en brugertilgang. Der er skabt mange nye stillinger i kølvandet på GDPR, og Ghita Njor opfordrer fagfæller til at søge stillinger som hendes, selvom der ikke specifikt står bibliotekar eller informationsspecialist i jobopslaget.
- Virksomhederne kender ikke nødvendigvis vores kompetencer, og derfor er der også en opgave for BF i at markedsføre faget og medlemmernes faglighed i samfundsdebatten og offentligheden, siger hun. Ghita Njor er indtil videre den eneste informationsspecialist i Digital.
- Det har krævet, at jeg har stolet på min egen faglighed, og det, som jeg byder ind med. Jeg har ikke kunnet vende det med garvede fagfæller først. For eksempel tænkte jeg, da jeg startede, at vi kunne navngive filerne på en bedre og mere ensartet måde, men jeg holdt mig tilbage, fordi jeg regnede med, at det var et bevidst valg, at man gjorde, som man gjorde, men det var det ikke. Så det er bare om at byde ind med den faglighed, man kommer med. GDPR er og bliver en tværfaglig opgave.
STUDIEVEJEN
- Jeg søgte ind på IVA på grund af kulturformidling, men allerede på 1. semester fangede informationsvidenskab min interesse. Jeg kan godt lide det praktiske i, hvordan systemer virker. Jeg tog Bibliotekar DB, fordi jeg gerne ville have praktisk erfaring og ikke havde haft studierelevant arbejde. Jeg og to medstuderende undersøgte, hvad der sker, når borgerservice flytter ind i biblioteksrummet. Det gjorde det klart for mig, at hvis vi som samfund vil være digitale, så bør rammerne være i orden. Der er mange, der ikke kan betjene sig selv, både gamle og unge, og der er usikkerhed på nettet blandt andet omkring manglende privacy og beskyttelse af vores data. Jeg skrev speciale om kommerciel anvendelse af persondata og datadreven markedsføring (som et problem) og GDPR som en mulig løsning. For eksempel er omfanget af brugen af vores personlige data ukendt for de fleste. Ét er, at du deler dine data med én virksomhed, men de deler dem igen med andre eller tillader samarbejdspartnere at indsamle data hos kunderne gennem cookies. Vores data når meget langt ud.