Lektor skyder KL-kritik ned og forsvarer GDPR-bøder
Indførslen af GDPR og de dertilhørende bøder har betydet, at der er blevet noget længere imellem de alvorlige sager om persondatasjusk i kommunerne. Bøderne har nemlig fået dem til at tage deres rolle som dataansvarlige alvorligt, mener Ayo Næsborg-Andersen, der er lektor i persondataret og menneskerettigheder.
»Det kan godt være, at de burde være drevet af et abstrakt incitament og tillid, men det kræver jo også, at man sætter pengene af til det i budgettet. Det har man ikke gjort før, men det gør de i langt højere grad nu efter der er kommet bøder,« siger Ayo Næsborg-Andersen.
Bødebuffer
I forbindelse med den kommende revidering af GDPR, har Justitsministeriet meldt ud, at man vil undersøge muligheden for at indføre en ordning, hvor lovovertrædere først skal modtage et påbud, inden bøde-hammeren kan falde.
Ideen om en påbuds-ordning har høstet bifald fra blandt andet Kommunernes Landsforening, som tidligere har kritiseret GDPR for at skabe en kultur, hvor frygten for bøderne ødelægger kommunernes mulighed for at lave gode løsninger til borgerne.
Jeg har flere gange være til møder, hvor det er blevet forklaret, at enten har store dele af verden allerede implementeret noget, som ligner GRPR eller også er de i gang med det.
Det er ligesom med menneskerettigheder, de kan være besværlige, men de beskytter borgerne. Det samme gør GDPR.
Godt eksempel med for at køre +100 km/t og ikke blot advarsler i sådanne situationer.
Engang fandtes der en håndfuld personnumre, der med garanti ikke matchede en borger, de pegede på fiktive personer i cpr. Men de må heller ikke bruges i dag (så vidt jeg har fået at vide).
Hvis man nu SKAL bruge rigtigt udseende numre (altså ikke erstatningsnumre), der med garanti ikke matcher nogen, hvordan tester man så, at de ikke matcher - uden at prøve på at matche? Hvordan tester man kommunikation med cpr? Der er ting, der er umuligt svære at håndtere (heldigvis har jeg ikke længere noget med personnumre).
så længe de ikke falder tilbage på ministerier, politikere, embedsværk og andre vigtige områder hvor de er ubelejlige.
Gudskelov for det etablerede demokrati der i alle tilfælde tilgodeser borgernes interesser.
Det kunne også være at det var meget svært for politikerne/lovgiver at argumentere for at der ikke skulle være lighed mellem private og offentlige virksomheder.
Så dokumenterer GDPR hvad som virker og hvad som ikke virker.
Påbud virker ikke, det gør bøder.
Så ikke mere af det som ikke virker, men mere af det som virker!
Artiklen skriver at i praksis får de påbud først, undtagen for eklatante brud hvor der sker læk. Og jeg er enig med Ayo Næsborg-Andersen.
Men med hensyn til at forstå: Det ikke juristerne, men udviklere der laver systemerne og implementerer GDPR-reglerne. Og ja, de skal spørge deres juridisk ansvarlige. Men cirkulært skal de indse at det er nødvendigt at spørge.
Fx implicerer GDPR åbenbart at audit-log skal kunne sige hvilken knap en bruger har trykket på for at hente følsomme data. Personligt troede jeg det var nok at kunne sige de havde hentet de pågældende data (og hvornår og fra hvilket system og ...). Bl.a. fordi jeg ikke kan indse hvordan man teknisk kan garantere at brugeren selv eller en hacker ikke har fusket med webapplikationens kommunikation og skiftet et knapnavn ud med et andet, og hvad er loggen så værd til hvilket formål? Men hvis juristerne siger reglerne er sådan at det skal logges, så gør vi det.
Eller som en anden (der arbejdede med et statsligt system) rendte ind i: Krav fra juristerne om at de ikke i test måtte bruge cpr-numre der matchede en borger. De havde i testen genereret tilfældige 10-cifrede tal til brug med øvrige, syntetiske data; enkelte af numrene var tilfældigvis gyldige cpr-numre (men altså syntetiske; ikke anonymiserede endsige rigtige).
Jeg ville meget nødigt som udvikler blive mødt med millionkrav i sådanne situationer. Bemærk at eksemplerne stammer fra virkelige situationer hvor man har gjort sit bedste og faktisk opdaget juristernes indvendinger. Men de er så yderlige, at man spekulerer på hvor mange andre, tilsvarende eksempler der ligger uopdagede hen.
Når jeg kommer fræsende ad landevejen med 100+km/t, og bliver taget i en landsby, så vil jeg også klart foretrække at få et påbud inden jeg får en bøde og inddraget kørekortet.
Alle de der maerkelige trafikskilte, som ingen forstår og ingen kan forklare, gør det jo svært at køre lovligt.
De forstår sikkert teksten udemærket. Men det er ligesom kemikaliefabrikker i 50'erne der bare dumper alt deres skidt i naturen. Det var både dyrt og en hemsko da man skulle skaffe sig af med det på forsvarlig vis. Sådan har man det rigtigt mange steder med GDPR. Det er bare noget unødvendigt bøvl som gør deres arbejde dyrere og mere besværligt.
"Problemet opstår, når man kan blive slået oven i hovedet for ikke at overholde regler, som ingen forstår og ingen kan forklare"
Kan det være rigtigt, at en del mennesker har læst og godkendt disse relger, og så fremstår de samme regler som "uforståelige" hos jurister i en eller et par dansk(e) kommune(r). Jeg er ikke helt sikker på, om dette ikke er en overspringshandling, for at undgå bøder, når de samme kommuner ikke gider eller orker at gøre deres borgerdata sikre!!!!