IT-Branchen efterlyser operationelle guidelines for databeskyttelsesforordning

Panelet til debatten. Illustration: Rebekka Falsing
Direktøren for IT-Branchen efterlyser operationelle guidelines til beskyttelse af personoplysninger på baggrund af den nye databeskyttelsesforordning. Ellers kan det blive meget dyrt for blandt andet virksomheder.

Folkemødet. Det bliver dyrt for alle, der skal implementere den nye og omfattende databeskyttelsesforordning. Men der kan være stor forskel på, hvor dyrt det nødvendigvis skal være.

IT-Branchen mener, at der er hårdt brug for fortolkninger og retningslinjer fra Folketinget i forhold til den kommende databeskyttelsesforordning, der træder i kraft til maj næste år. Ellers kan det ende med at blive dobbelt så dyrt, som det egentlig behøver, kom det frem på Folkemødet i sidste uge, torsdag.

»Vi bliver nødt til at vælge den strammeste tolkning af den nye forordning for at undgå, at virksomhederne om et år står med en bøde på fire procent af deres årsomsætning,« sagde Birgitte Hass, direktør for IT-Branchen.

Læs også: Datatilsynet om ny databeskyttelsesforordning: »Det er møghamrende indviklede regler«

Hun fortalte, at IT-Branchen allerede gør meget for at oplyse om, hvordan man som virksomhed kan indføre de nye databeskyttelsesregler. Men når virksomhederne følger den strammeste tolkning, er det ofte også de dyreste løsninger, som følger med.

Udgangspunkt i 1.100 sider

Ud over de manglende tolkninger finder IT-Branchens folk det svært, når det, der er at tage udgangspunkt i, er de 1.100 sider, den nye betænkning om forordningen består af, sagde Brigitte Hass.

»Vores kloge folk kan simpelthen ikke producere vejledningerne på nuværende tidspunkt ud fra de givne forudsætninger.«

Læs også: Ansatte i kommune kigger i borgernes persondata uden gyldig grund

Lige nu, sagde hun, kan de egentlig kun forklare virksomhederne, at de får en bøde om et år. En bøde på fire procent af årsomsætningen kan potentielt lægge en mindre virksomhed ned.

Karin Gaardsted, MF og IT-ordfører for Socialdemokratiet, lovede, at det snarligt ville blive taget op i Folketinget.

Det offentlige fritaget for bøder

Et andet problem, som blev vendt i debatten, er, at når en privat virksomhed eller forening måske ikke har tolket den nye forordning korrekt, får de en bøde.

Til gengæld er det stadig uafklaret, om det skal være gratis for det offentlige at overtræde forordningen. Det er nemlig i databeskyttelsesforordningen op til de enkelte lande, om der skal indføres bøder for den offentlige sektor.

Birgitte Hass mener, man bør overveje, om det er okay.

Læs også: Drøje persondata-hug til flere kommuner fra Datatilsynet

Karin Gaardsted (S) mener, at man kan argumentere for, at det offentlige også skal have en bøde, fordi de netop håndterer mange, meget følsomme data.

»For det er selvfølgelig ikke okay, at der er nogen, der sløser med data,« sagde hun.

Til stede ved debatten om beskyttelse af persondata var: Henrik Udsen, professor i IT- og databeskyttelsesret, Københavns Universitet. Karin Gaardsted, medlem af Folketinget og IT-ordfører for Socialdemokratiet. Anette Høyrup, seniorjurist og rådgiver, Forbrugerrådet Tænk. Jørgen Sørensen, partner i Security & Technology, PricewaterhouseCoopers. Birgitte Hass, direktør, IT-Branchen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Er der nogen, som kan komme med et kvalificeret bud på, om 1100 siders betænkning er rimeligt? Er alle andre EU-lande kommet frem til samme resultat?

Jeg spørger fordi, at jeg er ganske overrasket - men det er da muligt, at jeg ikke har fundet den rigtige kildetekst fra EU?

Det kan selvfølgelig skyldes særlige danske forhold - vi har jo set med EFI hvor kompliceret man har formået at gøre området med offentlig gæld. Men så synes jeg godt nok at det er nødvendigt at spørge relevante politikere, hvordan man kan mene at Danmark skulle kunne være et IT foregangsland, når man fra politisk hold har udstyret os med så dårligt et udgangspunkt (og hvorfor man ikke forlængst er igang med at gøre noget ved det!)

Det kan selvfølgelig også skyldes, at databeskyttelsesregler ikke lige passer ind i "ministerens dagsorden" - de efterhånden utallige særregler om samtykke og undtagelser til Persondataloven er måske svære at opretholde? Så er det jo opportunt at skabe et indtryk af utroligt komplicerede regler med vanskelige fortolkninger, så en fremtidig praksis, der almindeligvis ville kunne forstås som værende i modstrid med forordningen, ikke ville kunne siges at være klart ulovlig, og derfor kunne opretholdes i rum tid fremover. Det har jo virket 'fint' i forhold til logning.

Eller måske ønsker man bare at skabe en "folkestemning" om, at forordningen er noget kompliceret og ubrugeligt bras?

PS: Bøder er op til den nævnte omsætningsgrænse. Selve om bliver markant dyrere end en kritisk udtalelse fra Datatilsynet, så tvivler jeg stærkt på at vi i praksis kommer endsige i nærheden af denne øvre grænse.

  • 4
  • 0
Anne-Marie Krogsbøll

Mørkelygten har været i flittig brug under udformningen af de 1100 sider, gætter jeg på. Man hører vel ikke til "landets fremmeste hjerner" for ingenting. Man må jo vise, at man er sin løn værd.

Og nu ser det ud til, at Mørklægningsloven alligevel ikke bliver revideret/afskaffet (=skandale), så vi kan sandsynligvis godt kigge i vejviseren efter indsigt i, hvad der er foregået i ministerkontorerne i forbindelse med denne sag.

  • 2
  • 1
Jesper Frimann

Efter lige at have bare sådan skimmet lidt igennem både dataforordningen og så betænkningen, så var der noget der gik op for mig.

Databeskyttelsespakken blev som nævnt vedtaget den 14. april 2016, og Danmark havde således fra denne dato ca. 2 år til at tilpasse dansk lovgivning til reglerne i forordningen.

Man indfører ikke EU lovgivning i Danmark, man tilpasser dansk lov så den efterlever lovgivningen. Hvorfor i alverden indfører man ikke bare EU lov og så hægter dansk lovgivning på, som 'addons' ?

Så tror da fanden at vi er nødt til at have så stor en mængde embedsmænd.

// Jesper

  • 3
  • 0
Denny Christensen

1100 sider med en masse indledning, definitioner, henvisninger, takketale, bla bla - det tager et par timer at læse det igennem hvis man læser hurtigt, en dag med normal speed. Så har man ordene.

Med lovgivning er det altid sådan at juristerne skal sikre at det holder i retten, skulle det en dag kommer dertil, og så skal loven ellers implementeres, her er der fortolkninger, pixi bøger i diverse omfang, etc etc.

Filmen knækker først for mig der hvor det bliver uklart i hvor HØJ grad man skal leve op til reglerne for at få en påtegning eller bøde. For det af Justitsministeriet udsende PPT slidedeck https://erhvervsstyrelsen.dk/sites/default/files/media/praesentation_fra... lægger umiddelbart op til at man ikke i detaljer skal leve op til alt i forordningen, hvilket ellers umiddelbart lyder fornuftigt for hvorfor ellers skrive ordene??? Jeg tror nu stadig på at selve ordene skal tages meget bogstaveligt.

I bund og grund famler vi lidt, mest fordi der ikke har været den store tradition for at blive testet i den gamle persondatalov - lever man op til den er der ikke nødvendigvis langt til også at kunne leve op til EU forordningen.

  • 1
  • 0
Kristian Sørensen

Forordningen ligger her:
http://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CELEX:32016R0679&...

Hele 88 sider.

Enig.

Jeg læste hele forordningen fra første til sidste side på en to times togtur.

Den er let og hurtig at læse og forstå. Den er skrevet ganske klart og tydeligt.

Det eneste spørgsmål jeg sad tilbage med efter læsning var "hvad mon straffen bliver når det er offentlige instanser der forbryder sig"?

Det lader forordningen være op til det enkelte land at beslutte. Jeg venter stadigt på at de danske embedsmænd træffer afgørelse om det. Men ellers føler jeg mig vel oplyst af selve forordningen.

Jeg håber da ikke at det ender med at der laves en "danske udgave" som er så meget sværere at forstå som artiklen ovenfor giver indtryk af.

  • 0
  • 0
Lise Gerd Pedersen

Man indfører ikke EU lovgivning i Danmark, man tilpasser dansk lov så den efterlever lovgivningen. Hvorfor i alverden indfører man ikke bare EU lov og så hægter dansk lovgivning på, som 'addons' ?


Uden at være jurist ... det er vel også det, man gør. En EU-forordning er per definition lov i alle medlemslandene (i modsætning til et direktiv, som skal implementeres via national lovgivning). Når der kommer en ny EU-forordning, skal national lovgivning tilpasses (måske endda forenkles?), så der ikke er modstridende regler. I de tilfælde, hvor en forordning giver medlemslandene lov til at bestemme noget, skal disse valg fyldes ud af national lovgivning.

Betænkningen er et lovforberedende arbejde, som tygger forordningen igennem og sætter den i forhold til dansk lovgivning. Jeg tror, at den er mere interessant for juristerne end for dem, der skal sikre overholdelse af forordningen.

Man må antage, at der kommer noget mere informationsmateriale, når den danske lovgivning er på plads.

  • 0
  • 0
Jesper Frimann

Uden at være jurist ... det er vel også det, man gør. En EU-forordning er per definition lov i alle medlemslandene (i modsætning til et direktiv, som skal implementeres via national lovgivning). Når der kommer en ny EU-forordning, skal national lovgivning tilpasses (måske endda forenkles?), så der ikke er modstridende regler. I de tilfælde, hvor en forordning giver medlemslandene lov til at bestemme noget, skal disse valg fyldes ud af national lovgivning.


Jo, men er vi så ikke enige ?
Igen jeg er ikke jurist, men har en baggrund i IT-verdenen. Ved at indføre lovgivning ville jeg formode at man simpelt hen tog loven og 'satte den ind' i 'Samlingen af Danske love', så gennemgik man eksisterende love og skar ud hvad der skulle skæres ud, og ændrede eksisterende lovgivning så tingene passede sammen.
Og at man på samme måde også havde vejledninger i hvordan loven skulle forstås.
På den måde ville man langsomt men sikkert have Lovgivning inden for EU, som konvergerede mod hinanden.

// Jesper

  • 0
  • 0
Bjarne Nielsen

Jeg læste hele forordningen fra første til sidste side på en to times togtur.

Den er let og hurtig at læse og forstå. Den er skrevet ganske klart og tydeligt.

Mjah, helt så langt vil jeg ikke gå. Den er tydeligt produkt af modstridende interesser, og der er meget mere "på den ene side og på den anden side" end jeg havde håbet på. Der er også nogle solide "blinde vinkler", som kun nævnes kursorisk, og som nok kræver et juridisk overblik, som jeg bestemt ikke besidder, for at kunne forstå den fulde betydning af. Jeg tvivler også på, at den helt vil opnå sit formål, nemlig at skabe fælles regler på tværs af Europa.

Men ja, den er bestemt til at læse, og med sine knapt hundrede sider er den også overkommelig at komme igen. Der er heller ingen tvivl om, at den har sin berettigelse, og jeg tror på at det er et skridt i den rigtige retning. Så jeg kan kun glæde mig over, at så mange her i debatter har gjort sig besværet med at læse forordningen, og vil bestemt opfordre til at flere gør det!

1100 sider med en masse indledning, definitioner, henvisninger, takketale, bla bla - det tager et par timer at læse det igennem hvis man læser hurtigt, en dag med normal speed. Så har man ordene.

Jeg er ikke engang sikker på, at jeg kan læse skønlitteratur med den hastighed, så her stiller jeg mig på IT-branchens side - det er alt for meget tekst; kan det virkelige være nødvendigt? Det er faktisk så meget, at jeg ikke er fri for den tanke, at det slet ikke er meningen at det skal læses. Det bliver i hvert fald effekten herfra.

Nu er jeg også farvet af, at jeg har set, hvordan "ministerier" (hvad jo nok i praksis vil sige embedsmænd) på ingen måde er fagligt neutrale, men i høj grad prøver at sælge deres aktuelle ministers meninger og holdninger. Nu har jeg lejlighedsvis læst både resume og samtlige høringssvar til høringer, og selvom der ikke bliver løjet, så lægges vægten med en meget tydelig retning - så tydelig, at jeg vil mene, at det jeg har læst var velegnet til at blive misforstået (og jeg vil endda tillade mig at mene, at udvalget også endte med at misforstå det).

Så jeg vil nok være meget forsigtig med at læse indledning og konklusion i betænkningen alene (og evt. skimme resten).

Men så er det jo godt, at vi har forordningen, og at forordningen har brugt en del af de 88 sider på at forklare baggrund og hensigt.

  • 1
  • 0
Henrik Biering Blogger

Justitsministeriets stormøde d. 13. Juni gjorde folkene bag betænkningen meget ud af at nedtone ændringerne fra den nugældende retstilstand i DK og til den ny retstilstand under Persondataforordningen.

Man ser således ikke de ny regler om dataportabilitet som noget juridisk væsensforskelligt fra den eksisterende indsigtsret. Men rent praktisk kan virksomhedernes situation blive ret forandret, som det f.eks. fremgår af IT-branchens reaktionWP29 vejledningen om Dataportabilitet.

Det lykkedes mig heller ikke efter mødet at fravriste justitsministeriet en forklaring på at de ikke ser væsentlige ændringer omkring samtykke på samme måde som f.eks. det britiske datatilsyn gør det, jf. min kommentar til et tidligere indlæg om betænkningen.

Men specifikke vejledninger kommer der både internationalt fra WP29 gruppen samt efterfølgende fra Justitministeriet. Det fremgår tydeligt af det ovenfor linkede slide-sæt fra mødet.

Desværre er aktualiseret hjemmesidehåndtering åbenbart hverken WP29's eller Datatilsynet's stærkeste kompetence.

Derfor har Christina Angela Gulisano (Direktør for Datatilsynet) egenhændigt lavet en midlertidig hjemmeside om databeskyttelsesreformen for at vi kan holde os rimeligt opdateret.

  • 1
  • 0
Log ind eller Opret konto for at kommentere