Husk at lave dine rævestreger på den rigtige side af loven. Noget i den stil sagde en meget kendt opfinder mm. engang.
Med denne farformaning vil jeg vende dette udsagn og dette blogindlæg mod noget så inspirerende som ulykkesdata og den danske datalovgivning fra en lægmands side. Selvom jeg har beskæftiget mig med netop datalovgivning eller med andre ord persondataforordningen/ dataforordningen/ databeskyttelses-forordningen eller internationalt forkortet som blot GDPR, så er jeg nok stadig blot en amatør. Jeg kan dog bruge lidt af min opnåede viden vedrørende GDPR, når vi taler om ulykkesdata, til at orientere dig. Måske er dette derfor blot en storm p i et glas vand.
Men lad mig slå fast. GDPR og ulykkesdata. Det er helvede på jord. Sådan mildt sagt. Ikke at forstå som at lovgivningen er unødvendig eller dårlig på nogen måde. Den er lige det modsatte. Lovgivningen har nemlig til hensigt at sikre at det data, der findes derude om dig og mig, der kan identificere os, bliver behandlet fortroligt. Og det er vigtigt. Men at sidde i en ende af perlerækken, hvor loven vender op og ned på, hvordan man altid har behandlet ulykkesdata og derfor har fjernet gulvtæppet for alle de hjemmedyrkede regneark, der har automatiseret meget arbejdet, er helt forfærdeligt. Mange årsværk arbejde skyllet ud i toilettet. Øv. Sådan rigtigt øv. Det er dog en linedans med mange faldgruber, hvis du ikke sætter dig ind i lovgivningen om datahåndtering.
Vi er ikke Roberter alle sammen, og man kan altid blive klogere, så hold ud og læs indlægget til ende. Det lysner nemlig mod enden.
Lad mig male med den brede pensel lidt endnu på dette støvede emne, fordi det er efterhånden blevet en kunst at kunne efterleve lovgivningen.
GDPR er et andet ord for databeskyttelsesloven. GDPR står for General Data Protection Regulation og er en lov vedtaget af EU. Loven omfatter alle de oplysninger, der kan identificere dig og mig.
Politiregistrerede ulykker er ikke direkte personidentificerende data i den form, der ligger mere eller mindre offentligt tilgængeligt eller i hvert fald tilgængeligt for fagområdet, der behandler politiregistrerede trafikulykker. Men… Data er meget tæt på ved at indeholde personhenførbare data, hvor der blot skal én ekstra information til for at du er genkendt, hvis du har været involveret i en trafikulykke. Og det tilmed med din eventuelle lovovertrædelse, din skadeshistorie, dit ulovlige forbrug af spiritus kombineret med kørsel eller euforiserende stoffer eller andet som du synes vil være pænt træls at din mor fandt ud af og stoppede dig i. Eller måske blot din næste arbejdsgiver, en mand med et roterende blinklys på hovedet eller en eller anden russer eller kineser, der vil afpresse dig til at betale bitcoins eller få adgang til dit nyeste spil Counterstrike. Altså sådan nogle megatrælse ting.
Så hvis du poster et billede på Instagram af dig og din ødelagte bil i et kryds med en vejnavnetavle i baggrunden, og med en bedrøvet mine fortæller, at du er kommet galt af sted og behøver et kram og en masse trøstelikes, som politimændene ikke kunne give dig, så kan din mor i forvaltningen let gå ind og finde din ulykke i datasættet og se om du f.eks. var fuld eller på stoffer eller du kørte for stærkt. Andre værre situationer kan naturligvis opdigtes, men det er reelt sådan man skal forstå begrebet personhenførbarhed.
Man kan som fagekspert få adgang til ulykkesdata f.eks. enten ved at sidde i en kommune med ansvaret for trafiksikkerhed eller hos en rådgiver, der skal lave et job for en kommune om trafiksikkerhed eller ombygning af vejanlæg. Det kræver blot en underskrevet sikkerhedsaftale… Eller nej. Nu kræves rent faktisk også en databehandleraftale. Altså en aftale, hvor du skriver under på, at du behandler data godt og sikkert og kun efter instruks fra vejmyndigheden. Hvis du som rådgiver skal lave et bestillingsjob om trafiksikkerhed, så skal kommunen fortælle dig, hvad du skal lave. Der er ikke længere fri leg.
Fordi du har nogle troværdige holdninger og et troværdigt ærinde, som bestilleren gerne vil have udført, så burde det ikke være svært at opnå adgang til ulykkesdata hos Vejdirektoratets system vejman.dk.
Det er nu tingene spidser til. Fordi nu kan du hente rådata. Du kan simpelthen via et sql-udtræk hente alle de data du vil i databasen ned på din egen pc eller på dit firmas servere, hvor du jo ved at skulle der gå ged i noget, altid har backup at dit arbejde og selvfølgelig dine data. Du kan faktisk ikke blot hente data fra bestillerkommunen, men også alle de andre kommuner i Danmark, som du jo i princippet ikke har indgået sikkerhedsaftale eller databehandleraftale med. Uh, det er for fristende for nogen. Du har jo bare skrevet under på kun at hente data fra bestillerkommunen, så det gør du selvfølgelig kun!
Du får hentet data ned på firmaserveren og begynder opbygning af dit regneark med pivottabeller og jeg skal gi’ dig. Det er så nemt, når rådata ligger integreret i regnearket. Men… Det er jo selvfølgelig blot den irriterende “nye” ting, at du nu med GDPR-lovgivningen skal dokumentere, at persondata opbevares sikkert og du ved hvor data er og ingen uvedkommende kan tilgå data og sprede dem hæmningsløst. Og det, kære læser, kan du ikke, når data ligger på en firmaserver og der tages backup af serveren hver nat eller hvad firmapolitikken nu end er. DU er faktisk pænt langt ude på tynd is ved at gøre som du plejer.
Tør jeg minde om, at der medfølger sanktioner, hvis GDPR-lovgivningen ikke overholdes. Fx kan der gives bøder på op til 4% af firmaets årsomsætning for ikke at efterleve GDPR-lovgivningen. Men det er jo blot penge. Værre er det, at nogens oplysninger kan spredes utilsigtet, fordi du ikke tog datahåndteringen seriøst.
Så hvad er anbefalingen?
Anbefalingen må først og fremmest være, at du lever op til det der står i Datatilsynets skabelonaftale for håndtering af data. Det medfører, at du til en hver tid skal vide hvor dit data er, vide og sikre dig at data ikke kan tilgås af uvedkommende, sikre og logge hvis der skulle ske utilsigtet deling eller hacking af systemet, og meget mere. Et regneark med rådata, der ligger på en server med mulighed for at kunne tilgås af kolleger eller en kineser derude i verden, er ikke sikret på nogen som helt måde under den definition som er angivet i Datatilsynets optik. Så find du blot checkhæftet frem, klar til at underskrive beløbet på bødens størrelse. Hvis du altså er lidt af en gambler.
Du kunne også gøre dit til at undgå denne situation ved at passe på dit lånte data, så du ikke ligner en klovn, hver gang du kigger dig i spejlet.
Det indebærer, at du enten holder dig til brug af et kendt system såsom vejman.dk eller Uheldsportalen og ikke flår rådata ud i intetheden og almenheden.
Det sidste punkt på dagsordenen er så: Hvad er rådata?
Rådata er csv-filen/Excel-filen fra vejman.dk med det komplette sæt af oplysninger i særligt elementniveau og personniveau. Det er udsnit af data, hvor datasættet er så småt at enkeltulykker kan identificeres. Det er grundrapporter. Det er kollisionsdiagrammer, hvor der er angivet f.eks. spiritus, rødkørsel eller høj hastighed.
Jeg lovede, at det lysnede mod enden. Det var blot noget jeg sagde for at få dig til at læse hele dette kedelige blogindlæg, fordi emnet er supervigtigt, hvis du arbejder med ulykkesdata.
DU skal passe på de rådata, du får adgang til og ikke bare arbejde som du plejer, og som nogen fortsat insisterer på er korrekt håndtering, for det går jo nok.
Jeg må beklage, at jeg ikke kunne holde mine rævestreger inden for god pli og ikke lyve tilsigtet. Jeg håber du læser med næste gang og ikke lader dig præge af det gamle eventyr om Peter og Ulven. Det er så men blot mig, der fabler.
God fornøjelse med at sikre dine lånte data.
