IT-Branchen og Dansk Erhverv i fælles GDPR-opråb: Virksomheder ved ikke, om de er købt eller solgt

Illustration: Ralf Kalytta | Bigstock
IT-Branchen og Dansk Erhverv ønsker GDPR-reglerne lempet, og derfor er de gået sammen om at skrive et høringsbrev til Justitsministeriet, der i den kommende tid skal evaluere GPDR-reglerne i Danmark.

Når Justitsministeriet i den kommende tid går i gang med at evaluere GDPR, så er der mange interesser på spil. Virksomheder må i mange tilfælde nemlig lægge mange ressourcer i at overholde de gældende persondataregler.

En undersøgelse foretaget af IT-Branchen fra 2018 viser, at små og mellemstore virksomheder havde en årlig GDPR-omkostning på mellem 50.000 og 100.000 kroner, og hver 8. virksomhed bruger over 1 million kroner om året for at overholde reglerne.

Derfor er IT-Branchen og Dansk Erhverv gået sammen i et opråb til myndigheden om at lempe reglerne, så f.eks. små og mellemstore virksomheder får lettere ved at navigere i Datatilsynets forventninger til GDPR-praksis. De peger på i alt fire punkter, hvor de mener, der er plads til forbedringer.

For det første er det i mange tilfælde ikke til at gennemskue, hvornår man er dataansvarlig, og hvornår man er databehandler, mener Martin Buch, chefkonsulent i IT-Branchen:

»Det er f.eks. vanskeligt at forstå, hvorfor PostNord ikke er en databehandler, når de bringer posten ud, mens en tjeneste, der sender e-mails ud, er,« udtaler han i IT-Branchens pressemeddelelse.

Uklarheden går i særdeleshed ud over it-leverandører, understreger han, og reglerne har ført til mange konflikter i branchen, hvor leverandør og kunde ikke kan blive enige om, hvem der skal agere dataansvarlig. Organisationen mener derfor, at Datatilsynet bør udbygge deres vejledninger, for at informere virksomhederne mere klart.

Reglerne kan også få konsekvenser for samfundets digitale fremskridt, mener organisationerne, da de frygter at små og mellemstore virksomheder vil fravælge cloud-løsninger fremover. Det er nemlig svært at eksportere data til tredjelande efter Schrems II-sagen, for den dataansvarlige både skal forholde sig de fire europæiske garantier og selv vurdere sikkerhedsniveauet i det pågældende tredjeland:

»Noget der i praksis er umuligt ressourcemæssigt for SMV’ere og i store dele af det offentlige at håndtere,« skriver organisationerne i pressemeddelelsen.

Brancheorganisationer: Der er brug for mere vejledning

Generelt er det en meget kompleks lovgivning, og derfor er det vigtigt, at Datatilsynet skruer op for vejledningen, mener brancheorganisationerne, der dog påpeger, at tilsynet har meldt ud, at de fremover vil opprioritere den indsats.

Der er dog stadig lang vej endnu, og derfor foreslår de i pressemeddelelsen, at tilsynet opstiller nogle fiktive cases - eksempler på situationer, hvor persondata spiller en rolle - og tilhørende vejledninger, der konkret beskriver, hvordan en virksomhed bør handle.

Den usikkerhed betyder, at virksomheder ofte ikke ved, om de er købt eller solgt, og det er kritisabelt, mener Martin Buch:

»Det er ikke tilfredsstillende, at virksomhederne i praksis ikke har anden mulighed, end at vente på et kontrolbesøg fra Datatilsynet, før de finder ud af, om de har overholdt loven,« udtaler han i pressemeddelelsen.

Derfor foreslår organisationerne også, at virksomheder skal have mulighed for at få en bindende forhåndsgodkendelse af praksisser, politikker og arbejdsgange, før de går i gang med at implementere dem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Tor Nielsen

»Det er f.eks. vanskeligt at forstå, hvorfor PostNord ikke er en databehandler, når de bringer posten ud, mens en tjeneste, der sender e-mails ud, er,«

Læser PostNord posten de bringer ud? Kopierer og opbevarer de indholdet af brevene og afsendernes og modtagernes adresser?

/s

  • 5
  • 1
#2 Tor Nielsen

Derfor foreslår organisationerne også, at virksomheder skal have mulighed for at få en bindende forhåndsgodkendelse af praksisser, politikker og arbejdsgange, før de går i gang med at implementere dem.

Hvem skal betale for den service? Forhåbentlig ikke skatteyderne.

  • 0
  • 1
#4 Henning Wangerin

De læser og bruger adresserne, så de må være databehandler.

Det må de vel være, og lur mig om der ikke sidder nogle computere et sted i deres systemer.

Der bliver også lavet samkøring/sammenligning, når der bliver tjekket om navnet på modtager står på postkassen.

Hmm. Her ved min postkasse er det begrænset hvad der bliver lavet af sammenkøring af data.

Læs: Der ligger ofte andre folks post i min postkasse. Som regel er det kun naboernes post, som kan komme videre, men det er også sket at post til en af de 8 andre "Minvej 23" rundt omkring i landet er havnet i min postkasse, så PostNord har ikke helt styr på det.

/Henning

  • 3
  • 0
#5 Jakob Dahl

De har en pointe i at man skal kunne få ordentlig vejledning fra datatilsynet. Det må være i alles interesse at virksomhederne lever op til reglerne med så få omkostninger som muligt, ikke at stikke bøder ud når regler er overtrådt. Derfor skal datatilsynet have nogle flere muskler så de har tid og resourcer til at vejlede i tvivlsspørgsmål og forslaget med nogle fiktive cases er også helt rimeligt indtil vi har en egentlig retspraksis på området. De skal også have muskler nok til at kunne tage sager op på eget initiativ og kunne afgøre dem indenfor en rimelig tidsramme

  • 2
  • 0
#6 Gert Madsen

De skal også have muskler nok til at kunne tage sager op på eget initiativ og kunne afgøre dem indenfor en rimelig tidsramme

Helt enig. Også med hensyn til vejledning.

Men det er godt nok svært at have ondt af de - rigtig mange - virksomheder, som tvinger deres kunder til at afgive væsentligt flere oplysninger end de behøver for at gennemføre ordren. Typisk samtidigt med at de sælger de oplysninger de kan trække ud af kundens browser.

Man skal altså ikke både lade sin registreringsliderlighed få frit løb, og bagefter pive over at man skal passe på folks data.

  • 1
  • 0
#7 Finn Christensen

Virksomheder må i mange tilfælde nemlig lægge mange ressourcer i at overholde de gældende persondataregler.

Men det er godt nok svært at have ondt af de - rigtig mange - virksomheder, som tvinger deres kunder til at afgive væsentligt flere oplysninger end de behøver for at gennemføre ordren. Typisk samtidigt med at de sælger de oplysninger de kan trække ud af kundens browser.

Virksomheder har haft utallige år før GDPR-lovgivning, hvor de heller ikke "gad" overholde lov og regler (nemt med et utilstrækkeligt og amputeret Datatilsyn).

Og "lige pludseligt" bliver allerede gældende love og regler stadfæstet samt tilmed via EU, hvor vi (duksen Danmark) ikke så nemt mere kan slippe for konsekvenserne.

Så blev det sør'm "pludseligt" både "ressourcekrævende" og "uklart" hyler de, sammen med utallige syge bortforklaringer. Et spil for galleriet i håb om at ~175 it-analfabeter på tinge vil hopper på krogen[1]..

Nej siger jeg lad endeligt Datatilsynet komme (uanmeldt) forbi, hive bødeblokken frem og spidse blyanten. Sørg for mange nuller på bøden - præventivt forstås -. så alle andre forstår alvoren.

Kundens data er kundens - basta - og pas godt på dem! Mange virksomheder har i utallige år sammen med [name] misbrugt os - kunderne - groft, unævnt og skjult.

[1] ..Hækkerup (barnebarnet) lemper måske.. https://www.version2.dk/artikel/minister-klar-at-lempe-uklare-gdpr-regle...

  • 2
  • 0
#8 Louise Klint

Her er tale om en ”rundspørge”. Det er hverken en undersøgelse eller analyse, IT-branchen har foretaget.

Og hvor fremgår det i øvrigt, at

”hver 8. virksomhed bruger over 1 million kroner om året for at overholde reglerne.”

?

Ud over at skribenten, fra IT-branchen, Rune Fick Hansen, påstår det i linket ^^. https://itb.dk/maerkesager/etik-privacy-og-sikkerhed/dette-boer-aendres-...

Branchen siger således selv, at de bruger mange penge på at overholde GDPR, og derfor vil de gerne have noget deregulering.

  • 1
  • 0
Log ind eller Opret konto for at kommentere