Iværksætter kritiserer nye strikse dataregler: Det er gift for startups

Mindre virksomheder og iværksætterne kan komme i klemme på grund af bureaukrati og øgede omkostninger, mener serie-iværksætter Martin Thorborg.

Konsekvenserne af at sløse med databehandling bliver voldsomt forstærket, når EU's nye databeskyttelsesforordning (GDPR) træder i kraft i maj 2018.

Men reglerne vil gå hårdt ud over små virksomheder, der ikke har mulighed for at hyre en hær af advokater til at sikre, at loven overholdes.

Det siger serie-iværksætter Martin Thorborg til Samdata Magasinet, der udgives af it-fagforeningen SAMDATA/HK.

Læs også: Cookie-håndhævelse kan ryge ud af Erhvervsstyrelsens hænder: »Klar styrkelse af ret til privatliv«

»For iværksættere er det her gift. Regelsættet er svært at forstå, og der er udsigt til gigabøder,« indleder han med henvisning til forordningens regler om, at virksomheder skal betale op til fire procent af den årlige globale omsætning, hvis de groft forsømmer deres data-ansvar.

»Store virksomheder vil se det som en konkurrencefordel, og de har muskler til at klare det. De små vil uforvarende eller af mangel på ressourcer lave fejl,« fortsætter han.

Vil skide på EU-regler

Martin Thorborg - der har været med til at starte Jubii, Amino og Dinero - kritiserer, at ingen kan sige præcis, hvordan GDPR kommer til at udmønte sig i praksis.

Læs også: Sikkerhedsboss: Nationale særregler kan afspore dataforordning

»Du kan ikke ringe til nogle kloge og få en forklaring på, hvordan det her skal laves. Reglerne er håbløse og tåbelige, så der kommer nogle tilretninger efter nogle år,« Siger Martin Thorborg, der først vil forholde sig til EU-reglerne, når myndigheder har fundet ud af hvorrdan reglerne skal forstås.

»Som iværksætter vil jeg skide på den slags regler – og se, hvad der sker. Det er ikke de små, som de går efter. Det har man ikke ressourcer til,« siger han til Samdata Magasin.

En af pointerne med fælles databeskyttelsesregler i EU har ellers været at give nye virksomheder bedre mulighed for at agere på tværs af de 28 medlemslande. David Francis, der er Huaweis sikkerhedschef i Europa, har dog tidligere advaret mod at flere og flere nationalle særregler kan ende med at give virksomhederne det samme juridiske kludetæppe som før datareformen.

Gamechanger

Jurist og partner i advokatvirksomheden Gorrissen Federspiel Tue Goldschmieding er enig med iværksætteren i, at der mangler konkret vejledning til, hvordan forordningen skal efterleves.

Men det er klart, at reglementet kommer til at være et paradigmeskift for databeskyttelse, der vil kræve privacy-by-design, hver gang nye produkter udvikles.

Læs også: Cookie-revision skal nedbringe antallet af bokse - men kan ende med at give flere

»Ansvaret for data om personer går fra at blive noget, der hører til i virksomhedens juridiske afdeling til at høre til alle steder. Alle medarbejdere skal have en forståelse af risici. Det er helt nyt, og det bliver en gamechanger,« siger han om forordningen, der kommer til at erstatte den danske persondatalov.

Læs også: Advokat om retten til at flytte egne data: Hvordan i h... skal det lade sig gøre?

Omvendt kan loven betyde, at medarbejdere vil blive bange for at lave de meget dyre fejl.

»Der er ikke noget, der er nemmere indenfor persondataretten end at sige nej – og det lukker jo for aktivitet og forretninger,« siger Tue Goldschmieding til Samdata Magasin.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Mette Nikander

Det er skam muligt at få assistance til efterlevelse af GDPR, både juridisk og teknologisk. F. Eks. ved jeg at Henning Mortensen på DTU kører et forløb på 1 dag til omkring Kr. 5.000,- det er et beløb de fleste kan være med til, hos C- cure holdes der året igennem en lang række gratis seminarer om GDPR, hos DI ligger der gratis vejledninger og checklister om GDPR , og er man medlem af DI kan man få en gratis digitaliseringsmentor osv osv. Det korte af det lange er at ja, det er et besværligt forløb, det vil kræve tid og for nogle, at de skal afsætte mere økonomi til IT og IT Security awareness, men når man betragter trusselsbilledet er det også på tide at udvise større ansvarlighed.

Med venlig hilsen Mette Nikander/ c-cure.dk

  • 8
  • 0
#5 Henrik Biering Blogger

Det er skam muligt at få assistance til efterlevelse af GDPR

Man må skelne mellem almindelige både store og små virksomheder på den ene side, som er reelt interesseret i den hjælp, du beskriver, for at sikre såvel sig selv som deres kunder ...

... og så den type virksomheder, som bevidst vil leve livet på kanten, f.eks. med aggressive loyalitetsklubber eller ved at slå sig op på at levere "gratis" ydelser til forbrugere, hvor "gratis" blot dækker over at man sælger eller udnytter data, så forbrugeren reelt bliver produktet i stedet for kunden. Der er meget á propos i dag en helt tilsvarende brok-artikel i Finanswatch i relation til persondata- og betalingstjenestelovene.

For sådanne virksomheder tror jeg GDPR bliver et wakeup-call til at finde ny forretningsmodeller, hvor forbrugerne opnår så store fordele at de vil betale for selve produktet/tjenesten og al databehandling til gengæld foregår efter deres ønske.

  • 9
  • 0
#6 Jens Jönsson

»Som iværksætter vil jeg skide på den slags regler – og se, hvad der sker. Det er ikke de små, som de går efter. Det har man ikke ressourcer til,« siger han til Samdata Magasin.

Her er jeg bange for at Thorborg tager grueligt fejl. Det er netop de små man har ressourcer til at gå efter, ikke de store....

  • 5
  • 0
#7 Christian Nobel

Her er jeg bange for at Thorborg tager grueligt fejl. Det er netop de små man har ressourcer til at gå efter, ikke de store....

Nu er Thorborg generelt sådan en man har svært ved at tage alvorligt, da han aldrig har keret sig om etik og god forretningsskik.

Ud over at ville "skide på regler", så har jo også tidligere haft den holdning at internetstandarder er under hans værdighed osv, osv.

Henrik er inde på noget af det rigtige, at forretningsmodellen er vigtig, og i det spil kan opstartsvirksomheder sagtens gøre en forskel, eksempelvis hvis de tænker sikkerhed ind fra dag et, i stedet for som så mange andre først bagefter at tænke "guuud, vi må hellere have noget sikkerhed at klaske på".

Herudover så er risikoen, hvis det kun drejer sig om fire procent af omsætningen, vel ret beskeden hvis forretningsmodellen er af den typiske Thorborg type, hvor man får skabt en masse hype og varm luft, som diverse godtroende (grådige) investorer hopper på, al den stund der næsten ingen omsætning er, og i hvert fald ikke overskud på driften, kun en forhåbning om en gevinst ved et salg.

  • 8
  • 0
#8 Henrik Biering Blogger

Herudover så er risikoen, hvis det kun drejer sig om fire procent af omsætningen, vel ret beskeden hvis forretningsmodellen er af den typiske Thorborg type, hvor man får skabt en masse hype og varm luft, som diverse godtroende (grådige) investorer hopper på, al den stund der næsten ingen omsætning er,

Begrænsningen for de administrative bøder er for virksomheder MAXIMUM af 4% og 20 millioner Euro, så det er de store virksomheder, der i praksis får lettest ved at betale bøderne. Små virksomheder og fysiske personer kan altså principielt få bøder på 20 millioner Euro uanset om de har omsætning eller ej.

Se §83, stk. 4-6

  • 3
  • 0
#9 Christian Nobel

Små virksomheder og fysiske personer kan altså principielt få bøder på 20 millioner Euro uanset om de har omsætning eller ej.

I stand corrected.

Så er det jo nok ret så vigtigt dels at tænke sig om en ekstra gang før man overhovedet begynder at rode med noget der tangerer persondata, og hvis man endelig skal være på kanten, så sørge for det er på selskabsform.

  • 4
  • 0
#10 Mette Nikander

Det skal altså lige nævnes at det er 4% af bruttoomsætningen globalt og at det i hvert land er muligt at lave egne rammer, som vi endnu ikke har set udspillet på i DK. De nationale bestemmelser vil formentlig først vedtages i januar 2018.

Jeg frygter dog, at det her for Statskassen, kan blive den nye indtægtskilde efter fotovognene, hvor man kan drive rovdrift på virksomheder, men aldrig mere end at de kan betale bøden (malkekoen må jo ikke dø vel;-)....

Med venlig hilsen Mette Nikander/C-cure.dk

  • 0
  • 0
#11 Bjarne Pedersen

Det var dog en skræmmende tanke! Desværre så tror jeg ikke den er usandsynlig. Specielt ikke hvis pengene skal gå til staten og ikke til noget som kan hjælpe virksomheder med at undgå at ryge i fælde.

Selv arbejder jeg som udvikler i en offentlig virksomhed og det er lidt skræmmende så meget som vi nok skal have kigget på og lavet om :(

  • 1
  • 0
#13 Anne-Marie Krogsbøll

Er der nogen der kan fortælle mig hvordan foreninger står i forhold til dette ? Jeg formoder de er underlagt disse regler, men håber det det ikke.

Jeg forstår bekymringen - men samtidig: Læk af persondata gør vel lige så megen skade, hvis de kommer fra en forening? F.eks. en patientforening? Så der er vel ingen grund til at frede foreninger, om end man måske skal tilpasse bødestørrelserne i nogle tilfælde - men samtidig være opmærksom på, at også foreninger kan have store økonomiske interesser i baggrunden - eks. patientforeninger.

  • 3
  • 0
#14 Mette Nikander

Alle der behandler personhenførbare eller personfølsomme data, skal overholde loven, men alt efter hvad det er at foreningen foretager sig, så er det jo en større eller mindre opgave at beskytte medlemmerne. F.eks. har fagforeninger nogle opblødninger i loven. På DI's hjemmeside der en artikel- ikke rettet specifikt på organisationer eller foreninger, men virksomheder, men den kan vise vej. Du kan søge på "Persondataforordningen – nye regler for beskyttelse af personoplysninger" . I artiklen er også en vejledning og en checkliste (som jeg iøvrigt selv har været med til at lave indholde til;-). Advokatfirmaer såsom Bech Bruun, Bird&Bird, Plesner m.fl. har artikler om loven på deres hjemmesider. Desværre er Datatilsynet ikke just klar som rådgivere, men ved punkter som jeg gerne ville have uddybet, der har Justitsministeriet været hjælpsomme.

Med venlig hilsen Mette Nikander/ C-cure.dk

  • 0
  • 0
#15 Anne-Marie Krogsbøll

Belært af egne meget uheldige erfaringer om utilsigtet videregivelse af personfølsomme data fra en pensionskasse har jeg indtryk af, at i hvert fald nogle pensionskasser har et meget rudimentært begreb om datasikkerhed. Jeg har derfor bedt min pensionskasse om kopi af deres interne persondatapolitik - som selvfølgelig viste sig at være fortrolig (hvilket jeg mistænker = ikke eksisterende).

Så hvem skal betale en evt. enorm bøde, hvis en pensionskasse dummer sig? Medlemmerne har jo ingen mulighed for at få indsigt i, om de interne foranstaltninger er tilstrækkelige, når disse er fortrolige, så hvorfor skulle det være medlemmerne? Men hvem ellers?

Er der nogen her, der ved, om den, hvis data opbevares/behandles, kan kræve indsigt i de interne retningslinjer for virksomhedens datasikkerhed?

  • 0
  • 0
#17 Jesper Larsen

Kommer kommuner og andre offentlige institutioner også til at kunne få bøder på op til 4% af bruttoomsætningen?

Nogle af de alvorligste brud på datasikkerheden i Danmark har jo netop været i det offentlige (eller måske hos virksomheder som udfører driftopgaver for det offentlige). Det er jo også det offentlige som ligger inde med flest følsomme oplysninger.

  • 0
  • 0
#18 Mette Nikander

Der er ikke bøder til det offentlige i sigte. Men man kan ønske sig at der kan deles andet end næser ud og at misligeholdelse, ligegyldighed og lemfældighed med håndtering af privacy relaterede data, vil kunne føre til fyringer. Når regeringen med den ene hånd ønsker at digitalisere, men med den anden hånd ikke sætter de nødvendige ressourcer af på Finansloven bliver det jo noget ambivallent. Der mangler passende strafferammer når det offentlige taber personfølsomme eller personhenførbare data, samt et stort og teknisk kompetent nok Datatilsyn.

Med venlig hilsen Mette Nikander/C-cure.dk

  • 0
  • 0
#19 Mette Nikander

"Jeg har derfor bedt min pensionskasse om kopi af deres interne persondatapolitik - som selvfølgelig viste sig at være fortrolig (hvilket jeg mistænker = ikke eksisterende)." Pensionskasserne har ikke pligt til at udlevere deres Interne Persondatapolitik, IT Politik, IT Sikkerhedsretningslinier eller lign. men det ville da være et godt grundlag for at skabe den nødevendige tryghed og tillid til digitalisering, at der var et dokument der redegjorde for håndteringen af Persondata. Offentlige pensionskasser vil ikke kunne få bøder, men jeg vil mene at private pensionskasser kan få bøder i forhold til den nye EU Persondataforordning der træder i kraft 25. maj 2018, hvilket nok betyder at de private ihvertfald er mere drevet og motiveret;-) Med venlig hilsen Mette Nikander/C-cure.dk

  • 1
  • 0
#20 Christian Nobel

men jeg vil mene at private pensionskasser kan få bøder i forhold til den nye EU Persondataforordning der træder i kraft 25. maj 2018, hvilket nok betyder at de private ihvertfald er mere drevet og motiveret;-)

Næh det betyder vel bare at udbyttet til medlemmerne/"kunderne" bliver mindre - husk på at proceduren inden for finansverdenen er, at først udbetales bonus til bestyrelse og direktion, dernæst udbytte til aktionærerne, og endelig så fastlægges graden af hvor meget man kan tørre "kunderne".

  • 1
  • 0
#21 Anne-Marie Krogsbøll

Tak for svar, Mette Nikander. Ja - det ville være befordrende for tilliden med åbenhed på det punkt - især når man har oplevet "kiks" i sikkerheden. Jeg kan da også undre mig over, at man ikke har ret til det, da pensionskasserne (i hvert fald dem, jeg tænker på) jo er medlemsejede.

  • 1
  • 0
#22 Deleted User

Man kan vel skelne mellem to typer data: 1) Dem man selv afgiver friviligt til eksempelvis Facebook, diverse foreninger og interessefællesskaber på nettet. 2) De data man ikke har nogen indflydelse på som eksempelvis bankdata og alle offentlige data.

1) er man i princippet herre over ud fra devisen: Hvis du oplyser noget til nogen, så betragt det som offentliggjort for almenheden. Vil man ikke have af Facebook deler ens data, så skal man lade være med at oplyse dem i første omgang.

Det er 2) der er de farlige. Her kan man ikke selv holde igen. Data bliver bare registeret i det offentlige uanset hvad man selv gør. Det gælder data om ens indkomst, sygdomshistorik osv. Det er her der skal sættes ind. Data er mere personfølsomme og man kan ikke holde dem privat selvom man vil.

Problemet er at altså at de mest følsomme data, og de data man ike kan holde igen på, er dem der er mindst fokus på. I stedet er fokus på at dele bøder ud til virksomheder der deler data man selv har foræret dem som betaling for en eller anden tjeneste.

  • 0
  • 0
#23 Bjarne Nielsen

I stedet er fokus på at dele bøder ud til virksomheder der deler data man selv har foræret dem som betaling for en eller anden tjeneste.

Du glemmer en række forhold her:

  1. Der er ingen åbenhed om, hvor meget man "forærer". Og det er ganske meget mere end man skulle tro.
  2. Almindelige mennesker kan ikke overskue konsekvensen af "byttehandlen". Den er også ganske meget mere ugunstig end man skulle tro
  3. Det er så som så med frivillighed - det er ikke et ligeværdigt magtforhold. Hvis ikke du "forærer" alle dine data til FB, så kan du ikke deltage i undervisningen eller klassefællesskabet.

Det er ikke noget ligeværdigt forhold, og almindelige mennesker bliver som udgangspunkt snydt, og har ikke en chance for at vide det. Derfor er det nødvendigt med beskyttelsesregler.

  • 1
  • 0
Log ind eller Opret konto for at kommentere