Martin Ernst bloghoved

GDPR år 1 ...

Illustration: canva.com

GDPR år 1: Vi skulle nå så meget, men det bliver blot en stille fejring af ´barnets´ første fødselsdag …

Sidste år ved denne tid var alle helt op og flyve over, at GDPR skulle træde i kraft. Der blev ansat DPO’er, og advokater og jurister havde susende travlt - der var mange som skyndte sig at sætte en masse skibe i søen.

Jeg syntes – og det kan meget vel være, at det bare er mig – Men… Vi ser ikke helt nogen festivitas omkring om GDPR. En gang imellem popper der en artikel op om databrud. Det første brud blev anmeldt til Politiet i marts 2019.

GDPR bruddene vælter heldigvis ikke ud af skabene, som mange dommedagsprofeter før GDPRs indtog ellers malede et dystert billede af. Måske var jeg én af dem, der påpegede, at der ville falde brænde ned i en stil, man sjældent før havde set på jord? Helt uden grund!

Et år er gået, og jeg gør status på denne årsdag for GDPR – for burde dette persondatahåndteringsindtog ikke have blot en smule bevågenhed. GDPR fylder trods alt 1 år. Og som de fleste forældre, hvor den førstefødte fylder 1, så er der ikke nogen fejring, der er for stor.

Jeg hylede selv med de andre ulve i flokken…

Jeg selv var også aktiv – indrømmet – bl.a. med en side på businesscase.dk om hvilke fordele man kunne se - eller forudsigelser om, om GDPR overhovedet kunne gøre noget som helst ved Facebook. Derudover foretog jeg, som den bedrevidende kommentator på sidelinjen til en fodboldkamp, en vurdering af effekten af GDPR. Specielt disse to blogs anbefaler jeg, at du læser først – og gerne inden du læser videre.

Hvad sagde de andre?

Her er et af de mange eksempler på de ulve, som jeg talte om:

https://www.superoffice.dk/ressourcer/artikler/hvad-er-gdpr/
https://www.itgovernance.eu/blog/dk/5-betydningsfulde-aendringer-indfort-med-gdpr
https://www.subscrybe.dk/guide-saadan-boer-du-forholde-dig-til-gdpr-eus-nye-persondataforordning/

Princippet om at registrere mindst muligt er jo en god tanke. Princippet om, at man skal kunne glemmes, er jo også godt. Og at der faktisk er konsekvenser, hvis man ikke overholder reglerne, er jo også godt.

Udfordringen er bare, at lovgivningen bestemt ikke var klar. Og det er først, når retssagerne bliver afsluttet, at man kan få set på, om og hvordan loven bliver håndhævet.

Arbejdet starter derfor først for alvor nu for rigtig mange – og dem, som har sat projekter i gang, har en større chance for at være forudseende, men må nok også gå tilbage og sikre sig, at de har fået alt med jf. den præcedens, som nu er er ved at blive skabt.

Har GDPR fået nogen konsekvenser for Facebook og de andre store FANG’er?

GDPR blev bl.a. skruet sammen for at stramme grebet om de store FANG’er, eller hvad vi nu kalder dem. Dvs. Facebook, Amazon, Google etc.
Måske er det bare mig, men det virker – som jeg selv var inde på i bloggen – at de havde for tykt panser.

Så næh… GDPR har ikke haft nogle konsekvenser, særligt ikke for mastodonten Facebook. Aktieanalytikerne spår f.eks. et kursmål, som er 25% højre det næste år for Facebook.

Som nævnt i en blog tidligere på året, så kommer Facebook med deres egen kryptovaluta, men som ikke kun er til de indiske brugere, men som Facebook ruller ud til 10 lande.

USA vil også indføre GDPR-lignende regler, men de får nok også samme effekt, som vores GDPR-regler. Og stillingen - hvis man skal genbruge fodboldanalogien - er helt sikkert mere til Facebooks favør end det, der var min vurdering tilbage i juni 2018.

Og selvom alle råbte ulven kommer – så kom ulven ikke..

Fik det nogen konsekvenser for os andre?

JA!

Alle knoklede for at nå i mål. Ingen ville være kandidat til den kæmpe bøde, som GDPR truede os med. Men her et år efter, så tænker jeg – hvem havde den største opgave i den her forbindelse, og hvad tænker de? Min første tanke går naturligvis til alle, dem som producerer kundesystemer.

En god ven af huset, Johnny Vallentin fra Clubsystems, fik jeg et par gode snakke med på en af vores ture, da vi begge er MAMIL (dvs. fede mænd i stramt tøj på lækre cykler i klubben rytterne.dk).

”Vi her i Danmark har virkelig gjort alt for at understøtte GDPR, men set i bagklogskabens klare lys, så virker det som om vi går enegang, og hvor lande som Polen eller Grækenland ikke har skænket GDPR en tanke, da de har større issues at slås med.” Siger Johnny Vallentin.

Dvs. vi står over for en af de største udfordringer i vores EU fællesskab; nemlig, at alle ikke er autoritetstro nok og følger fælles regler. Og hvorfor skulle man gør det, når det alligevel ikke bider på Facebook og de andre FANG’er?

Jf. denne artikel er vi åbenbart i top 3 mht. registrering af GDPR anmeldelser i Europa. Det kunne være fordi vi – igen – var lovlydige og gjorde, som der blev sagt, hvor andre ikke følger lovens bogstav i samme grad.

Men vi har ikke set så mange retssager i Danmark endnu – det har de så ude i Europa . Det er vel bare et spørgsmål om tid, før der bliver pillet et par sager ud, som skal danne præcedens. Hvem mon bliver de første?

Hvad gør vi så? Skal vi gøre noget?

Jeg mener naturligt, at vi altid skal starte med os selv, hvis vi skal ændre verden til det bedre. Derfor skal vi fortsætte det arbejde, som allerede er startet hos de danske virksomheder og organisationer.

Som jeg selv var inde på for et år siden, så tænk business casen ind i arbejdet med GDPR.

En kollega fra tidligere – Søren Suhr nu hos Factor3 – har nævnt i nogle af hans analyser, at GDPR projekter blev stemplet som ”skal” projekter, og så fik business casen et kæmpe spark. Det flugter meget godt med de tendenser, jeg ser i min årlige undersøgelse, hvor folk – hvis de kan se snittet til det – dropper business casen. Men de går glip af et kæmpe potentiale – mener jeg.

Hvad skal vi ellers gøre, hvis vi ikke opfører os ordentligt? Hit me!

Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Frimann

Problemet i det offentlige mht. GDPR, har efter min mening (IMHO) været, at det især er en jurist øvelse. Man har ikke forstået, som organisation, at det faktisk betyder noget i forhold til, hvordan man faktisk skal bygge, vedligeholde og dokumenterer IT, og forretningen som IT'en understøtter.
Vi kan jo se det med den her 'nummerplade genkendelses' sag, hvor sådan noget, som sletning af backup kom bag på rigspolitiet.

Jeg synes også, at der er en usund 'resistance to change', og at man ikke rigtig ønsker, at følge GDPR når der fra politisk side snakkes Big Data/AI /(pick your favorite Buzzword), hvor man ønsker at behandle data, hvor man nok ikke har hjemmel til det. Og så prøver man med krumspring og juristeri, at sno sig uden om. Især bruges 'til videnskablige formål' som en ynglings undskylding.

Så jeg sider stadig med følelsen af, at vi har langt igen. At vi fortsætter med at lave ting 'forkert', og at man fra politisk side ikke forstår/vil forstå principperne i GDPR.

// Jesper

  • 5
  • 0
Johan Færch

GDPR bruddene vælter heldigvis ikke ud af skabene...

Det er måske det største problem? Nemlig at de får lov at blive inde i skabene.

Der er enorme problemer med overholdelse af GDPR - Overalt.

Jeg har lige anmeldt PostNord (godt nok den svenske afdeling, men jeg har ikke større forventninger til den danske afdeling), som dels gør tærsklen til at bede om data enormt høj (håndskrevet brev! "For din sikkerhed"! - Og det er hvis man overhovedet kan finde frem til hvor og hvordan.), dels lyver om data ("Vi har INGEN data på kunder"!), dels ikke har noget der blot minder om procedurer og sluttelig nægter at udlevere persondata.

Og det er ikke småting de har liggende:
- Navn, adresse, email, telefonnr og andre 'trivialiteter'
- Pas/ID data
- Afsender-data (hvem jeg har købt af)
- Betalingsdata
- Tid og sted for afhentning/aflevering (min geografiske placering)
- Data fra web hvis jeg har søgt på en forsendelse

Jeg har efter megen kamp fået udleveret mit navn og min adresse!!!

Jeg har anmeldt dem til Datainspektionen, men regner helt ærligt ikke med at der kommer til at ske noget som helst i retning af konsekvenser for lovbruddet.

GDPR må så langt siges at være en fiasko af enorme dimensioner.

  • 0
  • 0
Gert Madsen

"Vi her i Danmark har virkelig gjort alt for at understøtte GDPR, men set i bagklogskabens klare lys, så virker det som om vi går enegang, og hvor lande som Polen eller Grækenland ikke har skænket GDPR en tanke, da de har større issues at slås med."
Er det ikke at trække den rigeligt langt ?
Vi havde et underbemandet datatilsyn, som fik tilført et par hoveder, hvorefter de skulle håndhæve GDPR.
Sammen med den udtalte modvilje fra politisk side, så rækker det næppe til en status som duks.

  • 3
  • 0
Bjarne Nielsen

GDPR må så langt siges at være en fiasko af enorme dimensioner.

Jeg kan se, at du deler Martins utålmodighed (og det er fint, mere af det!).

Men der er tale om en holdningsændring, hvor vi alle skal til at tænke på en ny måde; og det er nok noget nær det værste at forlange af folk! Det tager tid - til at starte med er det utroligt trægt, men så tager det fart - og der vil altid være nogen forstår budskabet.

Så ja, det går langsomt, og ikke mindst fordi at der er betydelig interesse fra betydelige interessenter i at forhale processen. Men det er efter min mening alt for tidligt at dømme den ude eller give op ... vi er knapt nok kommet i gang.

  • 2
  • 0
Jacob Mathiasen

organisation, som jeg virkeligt ønsker at have kontrol med, hvad har af informationer om mig er ... staten som helhed. For den er om muligt endnu mere utroværdig end Facebook i min optik.

Jeg, hverken føler eller tror på at jeg har nogen som helst muligheder for at den glemmer mig.

I hvert fald skjuler den sig så godt og undlader at informere mig om, hvad mine muligheder er - og, hvilke kasser den har gemt ting om mig og min familie i.

Det burde den være up-front med, hvis den altså ville virke som om den var på min side - og faktisk bekymrede sig om min mening og, hvad jeg synes.

  • 0
  • 0
Ole Laursen

organisation, som jeg virkeligt ønsker at have kontrol med, hvad har af informationer om mig er ... staten som helhed.

Jeg kan godt forstå din bekymring, men samtidig er der jo ikke en enkelt offentlig organisation der sidder med det hele, men tværtimod en masse mindre organisationer.

Jeg synes flere af dem er gode til at oplyse, nogle dog faktisk i overdreven grad (juristeri-øvelsen).

Men der er også nogle der ikke er. Og det er de få der ikke er, som skytset skal rettes mod.

F.eks. kontaktede jeg Forsvaret for at høre om hvad deres retningslinjer er, for de har jo fat i følsomme oplysninger fra halvdelen af befolkningen i forbindelse med værnepligten, og fik svar fra en jurist som tydeligvis med vilje undlod at svare på de fleste af mine spørgsmål, f.eks. på hvor lang tid de opbevarer følsomme helbredsdata på værnepligtige som aldrig er blevet indkaldt. Jeg kunne lave en formel henvendelse på mine egne data, for det var de forpligtet til, og det var så det.

  • 0
  • 0
uffe jacobsen

Tænk hvormange der har grublet over, om helt banale registreringer er lovlige. F.eks. registrerer min grundejerforening en gang om året, om hække er klippet og rendesten ryddet. Udelukkende på adressen.
Eksperterne siger, at det må vi ikke, hvis vi ikke har fået tilladelse fra hver enkelt grundejer.

  • 1
  • 0
Martin J. Ernst Blogger

Er det ikke at trække den rigeligt langt ?

I forbindelse med min research til denne blog, så kom jeg til den konklusion, at vi så meget som muligt. Dem jeg talte med tog GDPR meget alvorligt med de midler de havde til rådighed. Men som du også skriver, så var de midler måske meget begrænset i nogle (og centrale tilfælde). Og som vi også er inden på så var det en juridsk øvelse i starten.

Husk - vores indsats i DK skal ses relativt i forhold til andre EU lande.

  • 0
  • 0
Martin J. Ernst Blogger

Det er da en del.

Ja - men skal det ikke ses relativt.

Husk min samlede sætning, som nogle kun citerer den første bid: "GDPR bruddene vælter heldigvis ikke ud af skabene, som mange dommedagsprofeter før GDPRs indtog ellers malede et dystert billede af."

Det er en anden snak og sige om der burde være registeret mere, og der burde være faldet flere domme. Men det er en anden problemstilling, som også er svær. Hvormange ressourcer skulle der til for at vi ikke har en sagsbunk så stor foran os? Vosker denne sagsbunke? Bliver alt registeret? Hvordan skal de "dømmes"? Effektiv sagsbehandling kræver vel at der er klare retningslinjer eller hur?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize