anders lisdorf bloghoved

GDPR: EUs gave til big tech og et kvælertag på al europæisk innovation

I en tidligere blogpost her på Version2 er det tilsyneladende faldet læsere for brystet, at jeg formastede mig til at sige noget negativt om GDPR. Det handlede dog ikke om GDPR, men den måde det blev modtaget på.

Men jeg vil da gerne sige noget negativt om GDPR, hvis det skal være.

GDPR vil nok altid stå som en milepæl, der ændrede dynamikken for behandling af persondata på verdensplan. Isoleret set byder den ikke på så meget nyt i forhold til, hvad der allerede har været på plads i årtier i forskellige landes lovgivning og andre regulatoriske paradigmer som f.eks. HiPAA.

Det, som er det kraftfulde og en "game changer", er, at disse isolerede domænespecifikke persondatabeskyttelser blev generaliseret til at gælde alle former for persondata. Det skal vi for altid være EU taknemmelige for (amen).

Men…en ting er signaler, politik, agendaer og feel good-faktor, en anden ting er effekt og reel impact. Her ser det en lille smule anderledes ud. GDPR rammer nemlig de små og svage firmaer meget hårdere end de store, som har uanede budgetter og advokater, der kan vildlede (myndighederne). GDPR er en kæmpe succes for Google, Facebook og Amazon, som har en hær af advokater, og let kan bruge et par millioner til at retouchere deres praksis, så den ser acceptabel ud.

Det har sikkert både tvunget konkurenter ud af markedet og afskåret andre for at prøve at komme ind på markedet af frygt for GDPR-inkvisitionen. Hvem i dag ville være dum nok til overhovedet at prøve på at lave et socialt netværk? GDPR er en gave til den etablerede tech-industri, som gør, at de kan sove trygt om natten de næste mange år. Det har væsentligt øget "barriers of entry" til deres marked, og dermed styrket deres markedsposition.

For en startup vil det kræve forholdsvist meget mere at hyre en overbetalt konsulent til at sikre, at løsninger og processer svarer til GDPRs krav. Jeg har selv haft en start up der blev nød til at registrere brugerdata. Derfor er vi tvunget til at spilde vores tid på at prøve at forstå vage EU-regler og, hvordan deres juridiske status påvirker vores praksis og at krydse fingre for, at vi ikke uforvarende bryder nogle regler.

Jeg har selv slettet alt, vi udviklede, for ikke at blive fanget af GDPR-inkvisitionen. Det var alligevel ikke en succes, men det kræver væsentligt mere at blive ved med at prøve, når man har GDPR-spøgelset, der ånder en i nakken. Langt de fleste vækstvirksomheder ville blive ramt på bundlinjen, og blive truet på deres eksistens, hvis de skulle være helt sikre på ikke at komme til at bryde en GDPR-regel. For en virksomhed med omsætning på milliarder betyder det intet. Hvis der kommer en dom, kan de jo bare appellere. Den reelle effekt af GDPR er derfor, at innovation og vækstlaget i Danmark og Europa bliver ramt.

Anekdotisk kan jeg fortælle, at jeg har lavet mine egne GDPR-nedslag hos start ups og kan dokumentere, at det sejler. Hvis jeg anmeldte disse, ville de sandsynligvis få en kæmpe bøde. Men det gør jeg ikke, jeg holder det for mig selv. Jeg synes det er unfair over for innovative start ups, der bruger al deres kapacitet på at lave nye løsninger, der kan gøre det bedre end de etablerede tech-selskaber. Hvis jeg anmeldte det, ville jeg blot gå de store tech-selskabers vej. For de skal nok kunne svare for sig.

Hvad betyder GDPR så egentlig?

Et andet problematisk forhold er, at GDPR er skrevet så tilpas vagt, at det er tæt på umuligt at gennemskue, hvad der er nok. Det betyder, at folk, der altid har taget love og retningslinier seriøst og gjort deres bedste, er sendt på overarbejde, og organisationer, der altid har været ligeglade, har masser af skyts til at argumentere for de ikke har kunnet vide præcist, hvad de skal gøre.

Selvfølgelig kan man blive fanget for groft uagtsom opførsel, men der er så meget gråzone, at effekten stadig favoriserer dem, som lige akkurat gør nok til, at de kan sige, de har prøvet, men er ligeglade.

Lad mig give et eksempel: læs GDPR igennem, og fortæl mig, hvad du skal gøre med logning? Svaret er: it depends - det skal bare være godt nok. Det samme med kryptering. Tiltagene skal bare være risikobaserede. Men de mest uansvarlige har jo netop en fordrejet opfattelse af risiko, mens de ansvarlige har en overdrevet opfattelse af risiko. Effekten er derfor, at der ganske givet er kommet pres på Google, Facebook og Amazon, men også at et europæisk alternativ til den amerikanske tech-dominans er endnu længere væk end nogensinde.

Hvad kan man gøre ved det?

GDPR må lave en standard ligesom ISO 27001 som er "lidt" mere specifik omkring de konkrete praksisser, man forestiller sig. Det er ikke godt nok bare at skubbe lorten tilbage til markedet og sige, at det må I selv finde ud af, men hvis vi ikke er tilfredse, når vi kommer på besøg, får I en milliard-bøde.

Der har også været snak om, at det skal være praksis, at der i først omgang altid gives påbud og KONKRETE anvisninger på, hvordan et firma kan få bragt sig på linie med retningslinjerne. Det vil være en stor hjælp og betyde, at innovative start ups ikke behøver at være så bange. De vil i stedet kunne gøre deres bedste for at følge retningslinjerne uden at spilde unødvendige millioner på advokater, og dyre rådgivere som jeg.

For forbrugerne er det selvfølgeligt dejligt, at der er en beskyttelse, og jeg ved, at mange vil hade mig for dette, men jeg mener også, at et samfund er mere end dets forbrugere. Jeg mener også, at det faktisk vil skade forbrugerne, fordi det vil presse innovationen og lede til dårligere services, der alle vil være metervare amerikansk-orienteret mainstream. Tak, EU.

Relateret indhold

Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Niels Madsen

Ja, det kan vi kun være helt enige om. Der er jo for eksemple også nogle borgere hvis rettigheder skal tages i betragtning.

Så vide jeg forstår, så har du beskæftiget dig med bl.a. "Smart Cities". Vil du i den kontekst betragte mig som forbruger eller borger, når den grå kasse der hænger i lyskablerne lige uden for mit soveværelse (som blev sat op for et par år siden i forbindelse med Frederiksberg kommunes "Smart City" projekt, i forbindelse med dit startup, måske?) indsamler guderne må vide hvilke data borgerne?

-Det er ikke lykkedes mig at finde ud af hvad de opsamler, hvor det bliver opbevaret eller hvor længe, eller hvordan data skal bruger (udover noget vagt snak om "innovation" på en gammel webside hos kommunen).

-Ikke engang de installatører som jeg ca. en gang om året ser når de servicerer/opgraderer kassen, som kun er en ud af hundreder der hænger på Frederiksberg, lader til at vide noget om hvad det egentlig bruges til. Indsamler de f.eks vores WiFi eller Bluetooth ID'er? Hvad mere indsamler de mon? -Ingen ved det tilsyneladende.

Appropos, Google, Facebook og Amazon kan man rent faktisk fravælge dem (om end med noget besvær). Det gør jeg selv, og det er der også andre der i stigende grad gør. Men det er straks sværere for os at fravælge bl.a. grå bokse som hænger i offentlige el-installationer lige uden for vores vinduer, og som er udsprunget af private danske vækst og innovations projekter.

  • 19
  • 0
#2 Bjarke Haack Jørgensen

og den gjorde sig også gældende da den omdiskuterede paragraf 13 var på bordet ift. copyright (https://www.version2.dk/blog/eus-copyright-ss13-problem-1085525), altså idéen om at alle hjemmesider der anvender bruger-genereret indhold skulle tjekke indhold for overtrædelser af copyright-loven. Som i artiklen ville denne regel ramme små virksomheder/startups uproportionelt hårdt ift. techgiganter. Det er lidt det samme problem med GDPR.

Jeg er ikke modstander af ideen med GDPR, fordi vi som forbrugere i et tech-forbrugs-mekka bør være sikre på at vores oplysninger ikke flyder frit til højstbydende, men desværre er den reelle konsekvens uproportionel. Proportionalitet er et ekstremt vigtigt begreb i lovsammenhænge, og i en globaliseret verden hvor meget få selskaber sidder på pengene er det endda endnu vigtigere. Pointen er at store entiteter/institutioner/virksomheder/myndigheder skal straffes HÅRDT, fordi de har et stort ansvar og vice versa, men det bringer også en helt anden diskussion med sig om hvordan man så definerer det, og om det ideologiske bag (til en anden gang).

Desværre er virkeligheden en anden, hvor Datatilsynet godt nok har langet bøder ud, men hvor de store stadig slipper (https://www.version2.dk/artikel/enige-eksperter-datatilsyn-lader-google-...), og hvor det offentlige sandsynligvis vil være i 'helle', indtil/hvis borgerne en dag for nok. Ligesom pressen er vagthund for demokratiet og bjæffer hvis Christiansborg laver ulykker bør Datatilsynet også være det. Desværre virker det til at politikerne modarbejder dette (https://www.version2.dk/artikel/folketingsflertal-vil-lempe-gdpr-holder-...), og man kan spørge sig selv om hvor interessen ligger.

Summa summarum: Idéen/ideologien (sådan som jeg forstår den) med GDPR er god nok, men konsekvenserne fremstår uproportionelle/urimelige. Problemet er, for mig at se, ikke kun relateret til GDPR men er et problem under udvikling, hvor staten og store virksomheder skal have det lettere end samfundets borgere, lokalsamfund og små virksomheder.

  • 5
  • 0
#3 Jens Hansen

Og så er der kommet ISO27701 er der en ISO standard for persondatabeskyttelse. Men uanset hvilken man vælger skal selv tænke sig lidt om. Man kunne også vende den om og spørge hvorfor diverse brancheforeninger ikke har udviklet nogen standardvejledninger til deres medlemmer?

Det kan godt være at det ikke føles innovativt at skulle dokumnetere den persondatabehandling man foretager sig, men resultatet af det modsatte lever vi med i høj grad i dag.

Man kan jo benytte sider som sikkerdigital.dk hvor der er vejledninger til rigtigt mange ting (hvis man ikke vil benytte en konsulent).

It branchen har alt for længe fået lov til at være pænt lovløs, men nu kommer der altså krav til at man også tænke beskyttelse af borgerne ind. Og det er i min optik kun positivt.

  • 15
  • 1
#4 Johnny Lüchau Blogger

Du har helt ret Anders og når man forklarer folk at GDPR åbenbart er skabt for at hjælpe (amerikansk) big tech med at suge data ud af EU, så kigger folk på én som om man har tisset på deres sko.

GDPR og Privacy Shield for den sags skyld, er en slags trojanere.

  • 7
  • 12
#5 Jan Ferré

Jeg er sikkert bundnaiv! Men jeg har egentlig svært ved at se, at GPDR er et større problem for nystartede virksomheder - hvis de ellers er med på at behandle data (og deres brugere) ordentligt.

Man må opbevare de nødvendige data i den nødvendige tid. Og det forventes, at man opbevarer data på en måde så kun de personer, der nødvendigvis har adgang. Samtidigt skal man kunne præsentere data for interesserede registrerede - og min tilføjelse her vil være, at data skal præsenteres på en måde, så det er forståeligt, hvilke data her er tale om.

Her kommer så det bundnaive frem i lys lue: jeg har ikke brug for at gemme oplysninger om brugernes IP-adresse, operativsystem, skærmstørrelse, tidligere færden på nettet eller for den sags skyld geokoordinater efter den aktuelle session er afsluttet. Disse data kan evt. gemmes i statistisk form, men må ikke være knyttet til brugeren. For det er ikke nødvendigt for mig at have disse oplysninger senere.

Jeg har ikke brug for at gemme brugernes adresse, når først pakkelabel'en på deres indkøb er skrevet og når transportfirmaet har meddelt, at at varen er leveret. Så kan jeg vælge at gemme oplysning om, at jeg har solgt noget til et postnummer eller en region - men hvem det er er ikke nødvendigt efterfølgende.

Jeg er ikke nødvendigt at fortælle andre om mine kunder - heller ikke selv om jeg bliver betalt for disse oplysninger. Det er kundernes data - ikke mine.

Så ved jeg godt, at der er nogle DJØF'er, der mener, at bare fordi ting kan registreres, så skal de registreres - så jeg kan blive pålagt at lave detaljerede rapporter til statsapparatet efterfølgende. Beklager, venner! GPDR siger, at jeg ikke må gemme sådanne data. Og penge lugter som bekendt ikke, så der vil ikke være noget galt i, at jeg registrerer, at jeg har solgt en vare til 27 kr. - plus moms.

Jeg ved det godt! Bundnaiv!

  • 25
  • 2
#7 Jørgen L. Sørensen

Man må opbevare de nødvendige data i den nødvendige tid.

Og det er dét, mange har svært ved at nøjes med!

Et dugfrisk eksempel (i den lille ende) som følge af den kære corona:

Da der blev åbnet op for lidt større forsamlinger, kom der gang i en vandrerforening igen :-)

Det var et krav for at deltage i deres vandreture, at man tilmeldte sig til turene via deres hjemmeside. Der stod ved tilmeldingen at man som ikke-medlem gav tilladelse til at gemme data i 6 måneder. Jeg skrev derfor til foreningen for at høre hvorlænge de gemte oplysningerne om deltagelse for medlemmerne.

Det gav en telefonsamtale med formanden, som ikke lige kunne svare på det på stående fod, men det var nok for "altid". Jeg påpegede at det efter min mening burde være nok at gemme data til arrangementet var overstået (evt. 14 dage ekstra af hensyn til evt. smitte opsporing). Han kunne egentlig godt se det fornuftige i det, og ville grave lidt i det hos deres leverandør af edb-ydelser.

Et andet eksempel: Hvorfor skal en stor avis dækkende halvdelen af DK og ejer af halvdelen af landets ugeaviser, have oplysninger om både køn, alder, beskæftigelse mv. når man bestiller et elektronisk abonnement som betales løbende via betalingskort? I princippet behøver de jo kun data om mit betalingskort og mail-adresse --- og måske navn og adresse af hensyn til kontrol hos NETS, hvilket ikke burde være nødvendigt når NETS sender en sms med en bekræftelseskode.

  • 17
  • 0
#8 Søren Sehmann

For mit at se er den største udfordring, at hvis man ikke tager stilling til både teknologien og de juridiske muligheder og retsgarantier, så knækker debatten. Det har ikke noget med størrelse at gøre. Vi bliver nødt til at forholde os til begge problemstillinger, samtidig.... Hvis vi ser på kernen i EU domstolens dom i Schrems II sagen, så er den centrale problemstilling, at firmaer og offentlige myndigheder, som benytter teknologi, der overfører persondata til USA, jo netop, at man derved ignogerer datasubjektets grundliggende rettigheder, herunder retten til at klage og til at få sig sag prøvet ved domstolene... Jeg er enig i, at små firmaer har vanskeligt ved at forstå og vurdere komplekse proplemstillinger om registreredes rettigheder.. Jeg tror, at der kun er en mulighed her, at EU og Danmark tager konsekvenserne af dommen og etablerer en infrastruktur, der sikrer, at petsondate ikke kan føres ud af EU.

  • 2
  • 1
#9 Johnny Lüchau Blogger

Ja, det er den kommentar man normalt får, men det skyldes bare at folk ikke er helt opdaterede (håber jeg...). Lad mig forklare:

Privacy Shield (afløseren for Safe Harbor) og GDPR kalder jeg, bevidst provokerende, for "trojanere" fordi de har givet befolkningen indtryk af at deres data nu er i sikkerhed for fremmede magter.

Samtidigt har mange danske IT/Sikkerhedsansvarlige brugt den ene eller den anden som en slags "alibi" for at "gå i skyen" selvom de fleste af dem har gjort det efter pres fra "forretningen".

Som EU Domstolen for nyligt slog fast, så er problemet at amerikansk lovgivning trumfer EU-lovgivning og ikke giver os den beskyttelse som disse tiltag bliver udbasuneret til at give.

Amerikansk lovgivning siger at amerikanske firmaer skal udlevere alle de data de råder over til de amerikanske myndigheder og de må ikke fortælle dataejer at de har gjort det. Det er den berygtede "section 215" som blev fornyet (skjult i en anden lovpakke) under Obama i 2015 og faktisk står til fornyelse i disse dage.

Og så skal vi måske også minde hinanden om at i 2013 fik vi en bunke dokumenter fra NSA som gjorde det klart at de amerikanske myndigheder har direkte adgang til de amerikanske tech-virksomheders databaser og tapper data direkte derfra. De hævdede endda at selskaberne deltager frivilligt, hvilket vist kun Steve Jobs opponerede imod (så vidt jeg husker). Tag ikke mit ord for det, find en stak aviser fra 2013.

Der er ingen konspirationsteorier involveret her. Vi gætter ikke, det er noget vi ved.

Hvis GDPR skulle have en reel og beskyttende effekt, så skulle det ikke være tilladt for ikke-EU myndigheder at have adgang til data, hvilket uvilkårligt leder til at ikke-EU firmaer heller ikke kan have adgang, da de kan være underlagt lovgivning som nævnt ovenfor.

Vi mangler en "EU-sky" :-)

  • 12
  • 4
#10 Jesper Løffler Nielsen Blogger

Hej Anders. Jeg er en af de GDPR-advokater, du nævner, som tjener penge på GDPR, og jeg er enig i de fleste af dine pointer: Reglerne er meget brede, det er meget svært at få klare svar og start ups er uforholdsmæssigt hårdt ramt. Jeg vil dog lige for en god ordens skyld gentage et budskab fra et tidligere indlæg om, at GDPR ikke generelt hæmmer innovationen, forudsat at man har ressourcerne til at gøre tingene ordentligt og langsigtet. Men det har start ups jo sjældent. Og den største svaghed ved GDPR er derfor måske nok, at der ingen udtrykkelige bagatelgrænser er (modsat fx Californiens CCPA), og derfor ligger den eneste proportionalitet i “den konkrete vurdering”, som du selv nævner. Jeg har af samme årsag advokeret for, at nogen burde tage initiativ til at lave et adfærdskodeks målrettet Tech start ups, og evt få det godkendt af Datatilsynet. Det vil ikke give en garanti for overholdelse i ethvert scenarie, men det vil give et langt mere overskueligt og trygt fundament at tage udgangspunkt i. Så, nogen burde tage initiativet til at udarbejde et sådant kodeks, of det kunne jo fx være den netop stiftede forening for Tech start ups.

  • 12
  • 1
#11 Jacob Lindquist

Hvis man som Tech start-up ikke forstår privacy by design, som igennem mange år faktisk har været god design- og kodepraksis, så er det måske slet ikke så skidt, med den dyre konsulent - ellers er risikoen for data flyder fra kunder og brugere alt for stor!

  • 15
  • 2
#12 Thomas Kjeldsen

Det lykkedes mig ikke ud fra din oprindelige formulering at udlede den ellers udemærkede pointe. Der er vel tale om en uhensigtsmæssig følgevirkning og ikke en decideret skurkagtig plan om at stække unionens egne medlemmer.

Derudover er jeg helt enig i at det er sundt med en god omgang skepsis ifht "cloud, cloud, cloud" og jurisdiktion. Tak for uddybningen!

  • 5
  • 0
#13 Rune Hansen

Det rammer hoved på sømmet, og det gælder lovgivning i alle afskygninger (det lyder godt med flere regler, men det ender altid med at vækstlaget bliver ramt. Da lovgivningen ofte bliver udformet i samarbejde med de etablerede spillere). Politikkere gennem tiderne har sagt at de vil gøre noget ved bureakratiet, men lovgivningkomplekset stiger EKSPONENTIELT år for år.

Jeg har selv mange år på bagen som iværksætter - heldigvis er jeg blevet ældre - og har nok endeligt indset følgende (på trods af hvad alle prøver at bilde hinanden ind): 1. Vi har defakto planøkonomi i EU og DK. Det ses på det faktum at næsten alle (især såkaldte Start-Up) virksomheder, ikke har nogen nævneværdig omsætning af relle efterspurgte produkter, men udelukkende lever af fundraising, tilskud, iværksætterlån eller investeringer af delvist statsejede/støttede virksomheder. Hvilket bevirker at de bliver suget ind i, får forpligtelser og står i gæld til deres velgører (EU, Stat og/eller kommune og de virksomheder de allerede samarbejder med) og i praksis bare bliver en del af en planøkonomi. 2. Vi har troet at Teknokrati (et stærkt embedsaparat og lobbyvirksomhed/"partsindlæg"/) var svaret på et stærkt EU. Hvilket bare har øget omfanget af bureakrati og stadsfæstet pt. 1.

90 % af de unge iværksættere jeg kender idag håber og arbejder udelukkende, for at få det store EU tilskud i hus (skattekroner). Så de kan fyre den af i et par år (all energi, businessplaner mm. er tilpasset disse ansøgninger).

  • 2
  • 4
#15 Denny Christensen

...for hele indlægget, idet jeg mener at borgeren skal have rettigheder overfor myndigheder såvel som private virksomheder. Og efterretningstjenester, etc.

Problemet med Big Tech er at de får lov at agere anderledes, og at EU domstolen ikke banker dem sønder og sammen med bøder/berufsverboot når de får chancen.

  • 14
  • 0
#16 Mogens Lysemose

GDPR åbenbart er skabt for at hjælpe (amerikansk) big tech med at suge data ud af EU

Johnny! Det er jo absurd! Du kunne lige så godt have skrevet at 5G gover corona - og undrer du sig over at folk protesterer? Adspurgt om hvordan det hænger sammen kommer du med. ogle interessante eksempler på USAs gdpr-brud,der formodentlig er menneskeretskrænkende.

Interessante cases, men de giver på ingen måde nogen dokumentation for din første påstand. Din argumentation og din påstand hænger ikke sammen?

  • 11
  • 3
#17 Mogens Lysemose

Jeg har kæmpet mig igennem Anders' galdefyldte, vrede indlæg om GDPR. jeg ser meget ringe argumentation for de mangs vrede påstande der fremkommer. Jeg synes det er meget usagligt og langt under V2s normale niveau.

Hvis man erstattede "GDPR" med SKAT ville det havne i en klassisk gang brok fra ultraliberalister der brokker sig over komplicerede skatteregler som forhindrer innovation og startups. Hvorfor skal JEG overholde skattelovgivningen? Det begrænser min innovation!

Hvis v2 havde redigeret indlægget så det ikke var så usagligt fylt med galde kunne det have starte en relevant debat. Nu giver det bare polariseret debat.

  • 13
  • 6
#18 Peter Lind

Privacy Shield (afløseren for Safe Harbor) og GDPR kalder jeg, bevidst provokerende, for "trojanere" fordi de har givet befolkningen indtryk af at deres data nu er i sikkerhed for fremmede magter.

Samtidigt har mange danske IT/Sikkerhedsansvarlige brugt den ene eller den anden som en slags "alibi" for at "gå i skyen" selvom de fleste af dem har gjort det efter pres fra "forretningen".

Det giver jo ingen mening - "skyen" giver ingen beskyttelse ift GDPR, det ændrer allerhøjest på dit ansvar. Jeg har svært ved at se at nogen skulle bruge GDPR som undskyldning for at gå i skyen.

Hvis GDPR skulle have en reel og beskyttende effekt, så skulle det ikke være tilladt for ikke-EU myndigheder at have adgang til data, hvilket uvilkårligt leder til at ikke-EU firmaer heller ikke kan have adgang, da de kan være underlagt lovgivning som nævnt ovenfor.

Det fritager ikke de firmaer for EU-lovgivningen. Google et al kan ikke vaske hænder ved at hævde at den amerikanske regering pressede dem til at udlevere data - de vil stadig stå til en bøde på 4% af omsætningen for med fuldt overlæg at have overtrådt EU lovgivning.

HVIS EU altså er villig til at køre GDPR igennem for alle virksomheder og ikke kun for små/mellemstore.

  • 10
  • 1
#19 Niels Madsen

Jeg vil f.eks gerne starte en lille bank. Jeg har forberedt mig og har både lidt startkapital, et hæve-sænkebord, nogle cigarkasser og en hjemmeside, så alt det tekniske er på plads. Men jeg er faktisk ret bekymret for at myndighederne kommer på tilsyn og straffer mig fordi jeg ikke har haft råd til at få overbetalte juridiske rådgivere til at vejlede om alt muligt uvedkommende bureukrati vedr. godkendelser til at drive financiel virksomhed, hvidvaskningsregulativer, m.m..

Den slags er simpelthen gift for små iværksættere som mig som risikere at gå konkurs pga. de store bøder, og det stiller mig i en meget dårlig konkurencemæssig situation i forhold til de store etablerede spillere, både i Danmark, men især i forhold til banker på f.eks British Channel Islands og Bermuda.

  • 15
  • 0
#20 Johnny Lüchau Blogger

Mogens!

Jeg tror at du måske overser pointen i din iver efter at skyde budbringerne.

Som også Anders påpeger, så har man gjort sig store anstrengelser i EU på at lave noget lovgiving som skulle beskytte personfølsomme data, men man har gjort det besværligt for mindre virksomheder at arbejde med data. Store tech-virksomheder har fået en fordel og som jeg kalder det, et "alibi" for at lægge data ud til bl.a. amerikanske tech-firmaer som ikke kan overholde denne lovgivning, fordi de skal overholde amerikansk lovgivning.

EU har haft kendskab til en specifikke paragraf i amerikansk lovgivning siden 2001, men har valgt at ignorere det problem da man lavede Safe Harbor, GDPR, SCC'er, Privacy Shield og så videre. Det er ingen forglemmelse, da mange (inkl. Max Schrems) har gjort arbejdsgruppe 29 (som står bag GDPR) opmærksom på problemet, siden gruppen blev oprettet.

To gange har EU-domstolen kendt de store bilaterale databehandler-aftaler (Safe Harbor og Privacy Shield) ugyldige, pga. af netop den amerikanske paragraf.

Derfor min påstand.

Forøvrigt burde de amerikanske tech-firmaer tage sig sammen og arbejde på at få fjernet den slags bananstatslovgivning - og praksis - "derhjemme", så EU slap for at lave flere udgaver af de her aftaler, som alligevel underkendes af EU-domstolen.

p.s. Din påstand om at amerikanske firmaer/myndigheders brud på reglerne er en menneskeretskrænkelse, lyder interessant. Hvilken domstol har afsagt den kendelse? ;-)

  • 1
  • 1
#21 Mogens Lysemose

johnny og Anders, jeg er ikke jurist, men I Danmark gælder danske love. Som jeg har forstået det et GDPR rammelovgivning som skal implementeres i de enkelte medlemslande. Derfor bør danskere kunne nøjes med at sætte sig ind i samt overholde databeskyttelsesloven, hvis de agerer i Danmark:

https://www.retsinformation.dk/eli/lta/2018/502

Ifølge bla. forvaltningsloven har myndighederne vejledningspligt, så landets love er til at forstå (følge af menneskerettighed). Så hvis i ikke forstår databeskyttelseslpven, så kontakt evt. datatilsynet og bed om hjælp.

Vil de ikke og er de uforståelige kan i klage til ombudsmanden.

mht. forbrydelse vs. domfældelse: hvis der sker et røveri eller et drab er de fleste hurtigt enige om at der nok er sket en forbrydelse, også inden en gerninsmand er dømt.

Menneskerettighederne giver så vidt jeg husker ret til privatliv og ret til retfærdig rettergang m.m. Hemmelige domstole er mig bekendt ikke retfærdig rettergang.

  • 5
  • 1
#22 Mogens Lysemose

Mht. din pointe med kendskab til brud på gdpr uden for eu: Meget enig i det er problematisk, men det er jo storpolitik, og EU bestemmer ikke loven i USA, Kina, og alle de andre lande der bryder GDPR og menneskerettigheder. At EU vælger at handle med disse og have bestemte aftaler er storpolitik, og formodentlig besluttet/godkendt af repressenrativt folkevalgte i EU. Sådan kan demokrati jo pgså være, at flertallet går en imod. Men det er nok realpoltik og et nødvendigt onde, men betyder ikke at det var formålet med gdpr som du absurd påstod.

  • 6
  • 1
#23 Anders Lisdorf Blogger

Mogens, det er ikke helt rigtigt. GDPR er en forordning, hvilket betyder at den er over EU landenes lovgivning og derfor ikke først skal implementeres. Den gælder således med det samme over hele EU.

Jeg er i øvrigt meget interesseret i hvad det er du "synes" er usagligt i indlægget, så jeg kan rette op på det.

Jeg prøvede bare at beskrive virkeligheden som den ser ud udenfor de fine EU kontorer og pressemøder. Her er effekten bare den modsatte af det man ville opnå, som du også kan se på blandt andet Johnnys argumenter. Det synes jeg faktisk at offentligheden har krav på at vide.

Jeg synes ikke det hjælper at vi bilder os selv ind at det er super godt det vi gør selvom intentionen er helt rigtig, når det har den stik modsatte effekt.

  • 3
  • 1
#24 Bjarne Nielsen

Mogens, det er ikke helt rigtigt. GDPR er en forordning, hvilket betyder at den er over EU landenes lovgivning og derfor ikke først skal implementeres.

Ikke desto mindre er den udmøntet i national lovgivning, og der er endda gode muligheder for de nationale parlamenter for at sætte egne fingeraftryk.

Tag f.eks. art. 80 2. del, som starter med: "Member States may provide that ...", og det har man så valgt ikke at gøre i Danmark.

  • 5
  • 0
#25 Mogens Lysemose

GDPR er en forordning, hvilket betyder at den er over EU landenes lovgivning og derfor ikke først skal implementeres

Men når den er implementeret i dansk lovgivning bør du vel med ro i maven kunne nøjes med at overholde databeskyttelsesloven? Og datatilsynet er tilsynsmyndighed i Danmark, ikke EU.

Jeg er i øvrigt meget interesseret i hvad det er du "synes" er usagligt i indlægget, så jeg kan rette op på det.

Jeg prøvede bare at beskrive virkeligheden

Det er meget prisværdigt at du er modtagelig for kritik/feedback, tak for det.

Problemet er som jeg ser det primært den voldsomme Pathos (harme, vrede, foragt, forurettelse) som ubehersket stråler igennem hele indlægget. Det fører til Trumpsk "name calling", til sarkasme, hån osv. Du har ret til at have de holdninger men så er det bare ikke saglig/faktuel "virkelighed" - og det gør det meget svært ikke at få kraftig modstand mod hele dit indlæg når man læser det og i forvejen var uenig med dine holdninger. Så bliver man blind for de ting du kunne have ret - det bliver til "dem mod os" (polarisering).

Eksempler:

Relevant og saglig argumentation: "For en virksomhed med omsætning på milliarder betyder det intet. Hvis der kommer en dom, kan de jo bare appellere." Det er jo desværre de generelle vilkår i en retsstat.

"jeg har lavet mine egne GDPR-nedslag hos start ups og kan dokumentere, at det sejler." Forventer du har ret.

"Der har også været snak om, at det skal være praksis, at der i først omgang altid gives påbud og KONKRETE anvisninger på, hvordan et firma kan få bragt sig på linie med retningslinjerne. Det vil være en stor hjælp og betyde, at innovative start ups ikke behøver at være så bange. De vil i stedet kunne gøre deres bedste for at følge retningslinjerne uden at spilde unødvendige millioner på advokater, og dyre rådgivere som jeg." Det er min opfattelse at det er sådan datatilsynet pt. administrer lovgivningen - at man faktisk gør en ærlig indsats gør at man får meget goodwill ift. små faktuelle kommafejl.

Derfor finder jeg praktisk talt resten af teksten usaglig:

Usaglig pathos/øgenavne:

Indledning : ..."faldet læsere for brystet, at jeg formastede mig til at sige noget negativt om GDPR." Der er altid nogen der mener noget andet, men du er stadig vred over det, og det er baggrunden for og gennemsyrer hele indlægget!?

"Hvem i dag ville være dum nok til overhovedet at prøve på at lave et socialt netværk?" Det handler mere om mættet og monopoliseret marked end at forholde sig til de 12 spørgsmål datatilsynets vejledning stiller.

"af frygt for GDPR-inkvisitionen." Pathos+øgenavne. Er det datatilsynet du kalder GDPR-inkvisitionen? Tror du de bruger tortur for at få dig til at tilstå kætteri?

"Jeg har selv slettet alt, vi udviklede, for ikke at blive fanget af GDPR-inkvisitionen." Der er da væsentlig forskel på at tømme din database for fortrolige data og så at slette hele databasen, koden og projektet. Det virker påtaget tåbeligt/demonstrativt. +Øgenavne igen.

"man har GDPR-spøgelset, der ånder en i nakken." Pathos + øgenavne.

"Det er ikke godt nok bare at skubbe lorten tilbage til markedet og sige, at det må I selv finde ud af, men hvis vi ikke er tilfredse, når vi kommer på besøg, får I en milliard-bøde." Det store stygge stat er efter den stakkels lille iværksætter. Det er jo netop ikke sådan datatilsynet administrerer lovgivningen, jf. ovenstående.

Hånlig sarkasme er frastødende mere end det er sjovt, i hvert fald hvis man ikke er enig fra starten:

" Det skal vi for altid være EU taknemmelige for (amen)."

"Tak, EU."

Det var min feedback, hvis jeg skal det som en sandwich, vil jeg gentage at det er meget positivt, at du er lydhør over for feedback!

  • 4
  • 1
#26 Johnny Lüchau Blogger

Som Anders påpeger er GDPR en forordning med direkte retsvirkning i Danmark.

Du har ret i at EU ikke kan ændre lovgivning udenor EU, men man kan beskytte borgerne imod den slags lovgivning.

GDPR kunne f.eks. stipulere at man ikke kan bruge firmaer fra lande med lovgivning som giver ringere beskyttelse end i EU, som databehandler.

Men det sker ikke. Man er allerede i gang med at lave en afløser for den seneste ugyldige aftale i stedet for.

Det kan man kun opfatte som om at man hytter andre interesser end EU-borgernes.

  • 3
  • 1
#28 Thomas Kjeldsen

Jeg er i øvrigt meget interesseret i hvad det er du "synes" er usagligt i indlægget, så jeg kan rette op på det.

Hej Anders, Mogens har allerede adresseret en del, men du skrev bl.a. dette: "når vi kommer på besøg, får I en milliard-bøde". Du skrev om startups i resten af indlægget. Så spekulerer jeg over hvilke små startups der har fået milliard-bøder? Jeg har nemlig ikke kendskab til nogen. Det er derimod mit indtryk at det er hensigten at der skal være proportionalitet, og at mindre virksomheder skal vejledes og hjælpes på vej. Det er jo netop i medlemslandenes interesse. Jeg synes du tegner et forvrænget billede, men det er klart at hvis du har konkrete eksempler på milliardbøder givet til små virksomheder så står dine påstande stærkere.

Slutteligt skrev du "jeg ved, at mange vil hade mig for dette" og jeg undrer mig over det sprogbrug. Oppe fra blogger-tårnet offergør dig selv og stempler samtidig eventuel kritik som had. Come on. Det kan du da gøre bedre! :-)

mvh Thomas

  • 5
  • 1
#29 Bjarne Nielsen

Det virkede på mig, som om at Anders mere havde brug for en krammer end en diskussion, så jeg prøvede at holde lav profil, for jeg er nok bedre til diskussioner end til krammere.

Det er ikke fordi, at jeg ikke kunne finde ting, som jeg kunne være både uenig og enig i - det er bare, at udgangspunktet gjorde det svært at diskutere.

  • 2
  • 0
Log ind eller Opret konto for at kommentere