jesper løffler

Blog: Er GDPR en med- eller modspiller for digitaliseringen?

GDPR påvirker alle dele af vores liv, arbejdsmæssigt såvel som privat, og af samme årsag har de fleste også en holdning til reglerne. I dette indlæg blander jeg mig i et lille hjørne af debatten omkring GDPR, nemlig spørgsmålet om, hvorvidt GDPR og det medfølgende bureaukrati er til hinder for innovation og digitalisering.

GDPR-bashing er moderne – igen

Der var rigtig meget kritik af GDPR frem til d. 25. maj 2018, hvor alle forsøgte at blive bare lidt klar til at tage imod Datatilsynet med nogenlunde oprejst pande.

Efter en stille periode skal jeg da ellers lige love for, at det her i 2020 igen er blevet moderne at kritisere GDPR. Startskuddet kom fra KL, der d. 27. januar offentliggjorde deres '40 GDPR benspænd' med introteksten:

»Hver eneste dag slås landets kommuner nærmest helt bogstaveligt med implementeringen af den nye databeskyttelsesforordning, i daglig tale blot kaldet GDPR. KL har samlet et udsnit af eksempler på, hvordan GDPR spænder ben for kommunernes arbejde

Det er oplagt, at frustrationerne fra KL og kommunerne er reelle og skal tages alvorligt, men omvendt er det lige så oplagt, at det som altovervejende udgangspunkt ikke er reglerne, der er problemet.

Langt de fleste af de 40 benspænd er således baseret på misforståelser eller fejltolkninger af reglerne, hvilket Datatilsynet også gjorde klart, da de få dage efter offentliggjorde svar på samtlige 40 punkter.

Herudover er der også en række af de 40 punkter, som omhandler krav, der har været gældende siden, vi i Danmark vedtog persondataloven i år 2000. Dermed er en stor del af den nuværende arbejdsbyrde begrundet i, at kommunerne ikke har haft nok fokus på/afsat tilstrækkelige ressourcer til at overholde de gamle persondataregler.

Den samme tanke får man i øvrigt også, når IT-Branchen udtrykker frustration over, hvor dyrt det i de foregående har været for deres medlemmer at forsøge at leve op til GDPR's krav . Man kan utvivlsomt finde eksempler, hvor GDPR rammer skævt fx overfor små IT-virksomheder, men jeg vil antage, at størstedelen af regningen er landet hos landets største IT-virksomheder - dvs. hos dem, der tjener milliarder af kroner på at behandle de aller mest følsomme oplysninger om os danskere.

Endelig: Når der er foreninger mv., der er frustrerede over noget lovgivning, er der selvfølgelig også politikere, der er klar til at være lige så frustrerede og kræve reglerne ændret!

Noget af kritikken er berettiget

Selvom dele af GDPR var en videreførelse af gældende regler, var der også en del nye krav. Og da mange af dem var meget bredt formulerede, har mange haft svært ved at afgøre, hvordan reglerne skulle fortolkes og efterleves i praksis.

Det var derfor stærkt utilfredsstillende, at en stor del af vejledningerne fra Datatilsynet om de nye regler først er kommet efter 25. maj 2018. Dette har Datatilsynet da også for nyligt fået kritik for af Rigsrevisionen.

Her lyder kritikken også på manglende afsluttede og offentliggjorte tilsyn, da disse netop også bidrager til vores forståelse af reglerne, og da det er afgørelserne – og risikoen for bøder – der skal være afskrækkende og også motiverer til at afholde reglerne.

Datatilsynet har stadig for få ressourcer - men hvorfor har de egentlig det?

Datatilsynet skal dog ikke have hele skylden. Frem til 25. maj 2018 var de håbløst underbemandede, og det er de øjnesynligt stadig. Noget tyder på, at man fra politisk side reelt ikke er interesseret i et stærkt Datatilsyn, formentlig ud fra en antagelse om, at for mange og for store bøder vil være skadeligt for den danske konkurrenceevne.

Der pågår også pt. en evaluering af den danske del af databeskyttelsesreglerne, dvs. den (begrænsede!) del af reglerne, Danmark selv kan ændre uafhængigt af resten af EU. I denne forbindelse kræver mange organisationer, inklusive KL og ITB, at Datatilsynet fremover skal have fokus på vejledning fremfor bøder.

Det synes derfor relevant at minde om, at Datatilsynet ifølge forordningen er forpligtet til at sikre en effektiv håndhævelse med bøder, der er store nok til at have en præventiv effekt overfor virksomheder og foreninger. Så hvis man fra politisk side fortsat afsætter for få ressourcer til Datatilsynet, kan de kun skære ét sted: Oplysning og vejledning. Dermed er den eneste vej frem at tilføre Datatilsynet nok ressourcer, således at de både kan leve op til forpligtelsen om en effektiv håndhævelse OG give mere og bedre vejledning.

Hæmmer GDPR innovationen?

Og så tilbage til omdrejningspunktet for dette indlæg: En del af kritikken er gået på, at GDPR spænder ben for myndigheder og virksomheders digitale ambitioner. På overfladen er der da også nogle åbenlyse 'modstridende interesser' mellem GDPR og ønsket om øget digitalisering, herunder særligt ift. udnyttelse af data:

  • GDPR er baseret på en række grundlæggende principper, herunder dataminimeringsprincippet. Det siger sig selv, at et princip om 'så få data som muligt' er i direkte konflikt med digitaliseringsbølgens mantra om 'jo flere data, jo bedre'.

  • Et andet princip i GDPR er kravet om formålsbestemthed, dvs. et krav om, at personoplysninger alene indsamles til bestemte formål, og at udnyttelse til nye formål (fx Big Data, samkøring, Machine Learning mv) kræver det ofte et nyt lovligt behandlingsgrundlag, opfyldelse af oplysningspligt osv.

  • Og i forlængelse heraf giver princippet om opbevaringsbegrænsning også en udfordring: Hvor digitaliseringsbølgen generelt har medført længere opbevaringsperioder (bl.a. fordi plads på en harddisk koster mindre end plads til et fysisk arkiv), så kræver GDPR, at man alene opbevarer personoplysninger, så længe det er nødvendigt for at opfylde det formål, de blev indsamlet til.

  • Sidst, men ikke mindst medfører øget digitalisering ofte øgede risici (flere data, flere enheder, flere indgange osv.), og som følger heraf stiger kravene til sikkerhed også.

It’s a feature, not a flaw

Svaret er altså: Ja, det vil i visse tilfælde medfører begrænsninger at overholde GDPR i forbindelse med udvikling og implementering af nye digitale løsninger – men det er også meningen.

Det fremgår således af nogle af de alle første sætninger i forordningen (præambel 5), at »Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger...«, og derfor er det en del af formålet med forordningen, at den digitale udvikling ikke løber helt løbsk uden hensyntagen til privatlivsbeskyttelse. Privatlivsbeskyttelsen er i øvrigt ikke det eneste, som har lidt under den uhæmmede teknologiske udvikling, og vi ser derfor også fokus på mere ansvarlighed og governance på andre områder, fx menneskerettigheder, demokrati, cybersikkerhed, forvaltningsretlige regler osv.

Med andre ord: 'Move Fast and Break Things'-æraen er ved at være forbi, og fremover må IT-folk lære at kombinere innovation og agilitet med ansvarlighed og governance.

Og selvom mange måske har den opfattelse, så har EU ikke vedtaget forordningen for at generere EU's virksomheder og mindske deres konkurrenceevne - tværtimod. EU gjorde det i en forhåbning om at EU ville blive en frontløber på en global trend i retning mod mere fokus på privacy, og den målsætning ser klart ud til at blive indfriet.

De store tech-giganter som Apple og Microsoft var tidligt ude med opbakningen til GDPR, og siden da er der blevet vedtaget skærpede privatlivsregler med GDPR som forbillede i en lang række lande. Gartner forudser da også, at denne trend vil fortsætte i et hastigt tempo:

»By 2023, 65% of the world’s population will have its personal information covered under modern privacy regulations, up from 10% today.«

GDPR som medspiller i den digitale omstilling?

Så, formålet med GDPR er altså at understøtte en mere langtidsholdbar digital udvikling. Herudover er det min opfattelse, at GDPR rent faktisk kan være en medspiller i den digitale omstilling.

Her er er nogle bud på, hvordan GDPR rent faktisk kan understøtte innovation, digitalisering og indjeningsevnen:

  • GDPR stiller krav om tilstrækkelig sikkerhed og udgør dermed (endnu) et argument for at øge sikkerheden generelt. Jo bedre overblik man har over sine data og sine systemer, jo bedre kan man identificere og minimere risici.

  • IT-chefen kan også bruge GDPR som argument for at få udskiftet forældede IT-systemer. Hvor mange nye systemer er baseret på Privacy by Design, ser vi ofte, at gamle systemer ikke er egnet til at understøtte GDPR’s krav, fx gamle SAP- og Navision-løsninger, der gør det vanskeligt/umuligt at leve op til de strenge krav til sletning.

  • Når man så har udskiftet systemerne, og i øvrigt sørger for at efterleve GDPR’s krav om løbende sletning, sparer man både omkostninger på hostingplads, og det bliver langt lettere og dermed billigere at skifte til et nyt system.

  • Data er nutidens olie, og jo bedre kvaliteten af data er, jo bedre kan data udnyttes, fx til analytics, AI/ML osv. Også her er der oplagte synergier med GDPR, der tillige stiller krav om, at data til enhver tid skal være korrekte og ajourførte.

  • Bedre styr på IT-leverandører og aftalerne med disse. Selvom Datatilsynets krav til kontrol med databehandlere til tider kan få karakter af unødvendigt bureaukrati, kan man jo lige så godt få det bedste ud af det: Når GDPR nu alligevel kræver, at man følger løbende op på sine leverandører, hvorfor så ikke bruge samme anledning til også at følge op på, om leverandøren i øvrigt lever op til kontrakten og SLA’en?

  • Harmonisering af reglerne på tværs af EU understøtter udviklingen mod stadigt stigende samhandel og kommunikation på tværs af landegrænser via internettet.

  • GDPR er i stigende grad et salgsparameter – både over for kunder og potentielle investorer. Nogle kundesegmenter lægger stor vægt på tillid til virksomhedens databeskyttelse i forbindelse med et køb eller tegning af abonnement. Af samme årsag ser vi en del virksomheder bruge privatlivsbeskyttelse aktivt i deres markedsføring.

»I have a dream …«

Jeg ved, at GDPR både har støtter og indædte modstandere blandt IT-folket, men jeg håber, at dette indlæg kan bidrage til, at lidt flere tager 'ja-hatten' på.

GDPR er ikke perfekt, og visse af kravene var stort set forældede allerede ved reglernes ikrafttræden - men det er hvad vi har, og reglerne bliver ikke lavet om lige foreløbigt. I de seneste strategier fra EU kan vi da også se, at GDPR kommer til at spille en central rolle i kapløbet mod resten af verden ift. udnyttelse af data og AI-teknologier: "Citizens will trust and embrace data-driven innovations only if they are confident that any personal data sharing in the EU will be subject to full compliance with the EU’s strict data protection rules."

Hvis ambitionen om 'GDPR-bæredygtig digitalisering' skal indfris, kræver det en indsats fra begge sider:

Vi jurister skal blive bedre til at sætte os ind i de teknologier, vi udtaler os om lovligheden af, og I, kære IT-folk, er nødt til at lade GDPR blive en del af den værktøjskasse, I bruger i jeres daglige arbejde.

Relateret indhold

Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rasmus Carstensen

Det er et stort problem at staten sender signal om at det skal være gratis for det offentlige at overtræde GDPR, og at GDPR slet ikke skal gælde for det offentlige i nogle tilfælde, f.eks. når SSI får lov til at sende data over atlanten til forskning. Hvis bare det er til forskning så kan data føres ud af EU og så kan man gøre hvad man vil. Ligesom at ingen data nogen sinde slettes fra statens arkiver.

På den anden side, så er det også næsten gratis for den private sektor, for datatilsynet har jo reelt ingen mulighed for at straffe. De kan kun sende den videre. Det er en tandløs vagthund.

Reglerne for overtrædelse skulle have været ens i hele EU og der skulle have været en overordnet myndighed man skulle kunne klage til, som ikke favorisere de enkelte nationale interesser. I Danamark mener regeringen jo at mere overvågning er det samme som mere sikkerhed, eller hvordan det nu var det blev formuleret...

Et andet problem er at når jeg en gang i mellem føler at nogen misbruger mine data, eller decideret overtræder GDPR, så kan jeg finde på at ringe til virksomheden, men i kundeservice bliver jeg gang på gang mødt af en kundeservicemedarbejder der er af den overbevisning, at da de har en stor juridisk afdeling og har undersøgt alt, så er det helt sikkert ikke dem der gør noget forkert. Det er da mig der er en stupid kværulant og jeg skal ikke komme og tro at jeg ved mere end deres hær af jurister.

Jeg har selv lavet rådgivning om hvad man må og kan ved systemudvikling (privacy by default) og har ofte følt at jeg som tekniker/DPO står på den modsatte side op imod juristerne der mere tænker profit for virksomheden, og tager alt lige til grænsen.

  • 6
  • 0
Jesper Løffler Nielsen Blogger

Hej Rasmus. Enig, der synes politisk at være meget fokus på at undgå håndhævelse overfor myndighederne, og det er jo rent faktisk en af de få ting vi selv har indflydelse op i DK. Og spændende med dit input ift at du som tekniker faktisk oplever at juristerne er dem der er villige til at gå længst - normalt synes jeg man hører det modsatte.

  • 2
  • 0
Gert Madsen
  • ikke et mål. Specielt politikerne ser digitalisering, som en måde at virke "moderne", og undlader derfor at spørge sig selv, hvorfor der digitaliseres. At kunne bruge andre menneskers data frit, uden at sikre disse data ordentligt, er tydeligvis et ønske hos visse. Det være sig politikere, embedsmænd, forskere og IT-sælgere. Og med sikring mener jeg ikke bare mod almindelige læk, men også brug af data til formål, som forlængst er dømt uetiske. Det er klart at det vil kunne give konkurrencefordele, men det er altså at sammenligne med at fjerne alle miljøkrav fra fysisk produktion. Det er simpelthen noget vi bare ikke skal gøre. Jeg ser først og fremmest GDPR som en hæmsko for sælgere af luftkasteller, og misbrugere af andre folks data. Så jeg er enig i konklussionen, at GDPR er et klart fremskridt, men jeg savner at man siger, at hvis man ikke kan digitalisere ordentligt og forsvarligt, så skal man bare lade være.
  • 5
  • 0
Denny Christensen

Fin artikel, den skal lige nærlæses senere.

En umiddelbar kommentar er at GDPR er en given parameter, det er mere fortolkningen og opfølgning på reglerne det halter med - for private såvel som offentlige IT løsninger.

Jeg hører pt. en PodCast hvor CIO fra Pandora bla. snakker om ansigtsgenkendelse, eksempelvis når et Pandora klub medlem kommer ind i en fysisk butik - er det klamt eller glædeligt? Bedre kundeservice, hvis kunden selv vil - men er den information umiddelbart nem at spotte ved indmeldelse eller er den som politikere tit gør pakket sammen med mange andre, ikke egentligt relaterede services som kunderne egentlig gerne vil have?

GDPR har løftet niveauet ift. håndtering af den i mange år eksisterende persondatalov og det er i sig selv en gevaldig sejr.

At Datatilsynet ikke har flere ressourcer ligner en klar politisk prioritering, hvor der ikke skal komme for mange danske møgsager, som skribenten også er inde på.

En sidste ting: Viden har i mange virksomheder og specielt inden for det offentlige været brugt til kontrol og minimering af ydelser/mulighed for at hæve prisre/sætte restriktioner.

Det er glædeligt og klædeligt den dag vi som forbrugere og borgere oplever at vi FÅR noget tilført fordi viden om os anvendes positivt og konstruktivt. Måske vi så også er lidt mere villige til at stille data til rådighed helt frivilligt?

  • 3
  • 0
Jørgen L. Sørensen

ikke et mål. Specielt politikerne ser digitalisering, som en måde at virke "moderne", og undlader derfor at spørge sig selv, hvorfor der digitaliseres. At kunne bruge andre menneskers data frit, uden at sikre disse data ordentligt, er tydeligvis et ønske hos visse. Det være sig politikere, embedsmænd, forskere og IT-sælgere.

Det er mit indtryk at også en stor del af befolkningen synes det er OK at samle data ind, og vi har en "borgerpligt" til at stille alle data om vort helbred og færden mv til rådighed for det offentlige/samfundet/forskning.

Hvis det lykkes at lave en corona-app bliver det spændende at se hvor mange der åbent vedkender at de ikke installerer den :-0

Selv det ikke at være få Facebook er efterhånden ved at være suspekt, og hvis en teenager hører man ikke er på Facebook kigger de på én, som om har mødt sjældent dyr som f.eks. en dino ;-)

  • 0
  • 0
Steen Garbers Enevoldsen

Det er jo dejligt for KL, at de kan få et skriftligt konkret svar på deres spørgsmål. Selv har jeg prøvet at kontake datatilsynet for at få svar på om en konkret indsamling af data med tilhørende formål er indenfor skiven.

Jeg vil jo gerne overholde lovgivningen!

Svaret (efter adskillige måneder og rykkere) var i parafraseret form: "datatilsynet vil ikke fortælle up-front hvorvidt et konkret tiltag er lovligt eller ej, men forbeholder sig retten til at politianmelde virksomheden hvis tiltaget implementeres og det efterfølgende vurderes at være ulovligt."

Hvis man ikke kan spørge den (eneste?) myndighed som har kompetencerne til at vurdere lovligheden af et tiltag i forhold til GDPR og få et konkret svar, så synes jeg faktisk godt man kan sige, at GDPR måske ikke i sig selv er hæmmende for innovation men det er myndighedernes håndtering til gengæld.

Jeg er stor tilhænger af GDPR - Men myndighedernes implementering af lovgivningen lader sgu en del tilbage at ønske.

  • 3
  • 0
Gert Madsen

Det er mit indtryk at også en stor del af befolkningen synes det er OK at samle data ind, og vi har en "borgerpligt" til at stille alle data om vort helbred og færden mv til rådighed for det offentlige/samfundet/forskning.

Det har du nok ret i. Men lige det tilskriver jeg nu mest den flok af professionelle løgnh^H^H^H^H^H^H kommunikationsmedarbejdere, som vedblivende skriver om at sikkerhed er højeste prioritet etc., selvom al erfaring viser det modsatte.

Jeg tror faktisk ikke at menigmand er ligeglad med om hans sygdomshistorik dukker op hos forsikringsselskabet. Det er bare de færreste som ved, at det er en reel risiko, med den måde som sundhedsvæsenet behandler vore data.

  • 0
  • 0
Jesper Løffler Nielsen Blogger

Hej Steen. Rigtig god pointe. Det er faktisk også et af de få gode forslag, der er på bordet lige nu ift Justitsministeriets evaluering af den danske del af databeskyttelsesreglerne, nemlig muligheden for at få en konkret bindende forhåndsbesked på, om en given planlagt aktivitet vil være lovlig. Vi kender den fra andre områder, fx Forbrugerombudsmanden, og det ville være oplagt at gøre her også, særligt over for foreninger og SMV’er, der ikke har ressourcerne til advokater og andre typer af dyre rådgivere.

  • 0
  • 0
Log ind eller Opret konto for at kommentere