Hermed et separat høringssvar fra GDPR-teamet og -leder vedr. omorganisering og organisatorisk placering af GDPR-teamet (med opbakning fra MED-udvalget i Digitalisering). Det anbefales, at GDPR fortsat placeres i Digitalisering og dermed følger med i fusionering af Økonomi, Administration og Digitalisering.

Databeskyttelse er i dag tæt integreret med digital udvikling, informationssikkerhed og cybersikkerhed (NIS2), og en organisatorisk flytning til et rent juridisk miljø vil øge afstanden mellem regulering og den praksis, hvor efterlevelsen skal implementeres.

Det er fagligt relevant at overveje en samling af juridiske kompetencer, da det kan styrke sparring og sammenhæng i den klassiske juridiske opgaveløsning. GDPR-arbejdet adskiller sig imidlertid fra traditionel fagjura ved i høj grad at være forankret i digitale systemer, databehandling og tekniske arbejdsgange.

Efterlevelse af GDPR sker i praksis gennem beslutninger om systemindkøb, dataanvendelse, automatisering og digitale arbejdsgange. Opgaveløsningen kræver derfor tæt samarbejde med systemejere, arkitektur- og udviklings-miljøer samt sikkerheds- og compliancefunktioner. Den nuværende placering i Digitalisering sikrer denne nærhed og gør det muligt at arbejde forebyggende med privacy by design og fremadrettet også security by design gennem tidlig involvering i systemanskaffelser og udviklingsprojekter.

Den regulatoriske udvikling forstærker behovet for denne integration. NIS2, GDPR og AI-forordningen har betydelige overlap i krav til risikovurdering, dokumentation og governance og kræver en samlet tilgang til styring af risici på tværs af data og systemer. En fælles organisatorisk forankring med informationssikkerhed og digital styring understøtter et sammenhængende risikobillede og reducerer risikoen for fragmentering mellem juridisk vurdering og teknisk implementering. Samtidig har GDPR-governance strukturelle ligheder med økonomistyring, idet begge discipliner bygger på systematisk risikostyring, dokumentation og løbende opfølgning på tværs af organisationen.

En flytning af GDPR-teamet vil samtidig indebære arbejdsmiljømæssige risici. Teamets opgaver er tæt integreret i digitale projekter og samarbejde med systemejere, IT-arkitekter og projektledere. Et organisatorisk skifte vil øge behovet for koordinering mellem enheder og kan skabe større afstand til de faglige miljøer, hvor opgaverne løses. Da GDPR-funktionen er praksisnær og teknisk orienteret, vil en placering i et primært juridisk miljø ikke nødvendigvis give et tilsvarende fagligt fællesskab og kan medføre risiko for faglig isolation og lavere synlighed i digitale projekter.

Det vurderes samlet set, at organisationens evne til at håndtere stigende regulatoriske krav og digitale risici bedst understøttes ved at fastholde GDPR-teamet i Digitalisering og dermed i den kommende stab for Økonomi, Admini-stration og Digitalisering.