GDPR: En med- eller modspiller i den digitale transformation?
GDPR påvirker alle dele af vores liv, arbejdsmæssigt såvel som privat, og af samme årsag har de fleste også en holdning til reglerne. I dette indlæg blander jeg mig i et lille hjørne af debatten omkring GDPR, nemlig spørgsmålet om, hvorvidt GDPR og det medfølgende bureaukrati er til hinder for innovation og digitalisering.
GDPR-bashing er moderne – igen
Der var rigtig meget kritik af GDPR frem til d. 25. maj 2018, hvor alle forsøgte at blive bare lidt klar til at tage imod Datatilsynet med nogenlunde oprejst pande.
Efter en stille periode skal jeg da ellers lige love for, at det her i 2020 igen er blevet moderne at kritisere GDPR. Startskuddet kom fra KL, der d. 27. januar offentliggjorde deres '40 GDPR benspænd' med introteksten:
»Hver eneste dag slås landets kommuner nærmest helt bogstaveligt med implementeringen af den nye databeskyttelsesforordning, i daglig tale blot kaldet GDPR. KL har samlet et udsnit af eksempler på, hvordan GDPR spænder ben for kommunernes arbejde.«
Det er oplagt, at frustrationerne fra KL og kommunerne er reelle og skal tages alvorligt, men omvendt er det lige så oplagt, at det som altovervejende udgangspunkt ikke er reglerne, der er problemet.
Langt de fleste af de 40 benspænd er således baseret på misforståelser eller fejltolkninger af reglerne, hvilket Datatilsynet også gjorde klart, da de få dage efter offentliggjorde svar på samtlige 40 punkter.
Herudover er der også en række af punkterne, som omhandler krav, der har været gældende, siden vi i Danmark vedtog persondataloven i år 2000. Dermed er en stor del af den nuværende arbejdsbyrde begrundet i, at kommunerne ikke har haft nok fokus på/afsat tilstrækkelige ressourcer til at overholde de gamle persondataregler.
Den samme tanke får man i øvrigt også, når IT-Branchen udtrykker frustration over omkostningerne forbundet med efterlevelse af GDPR.
Og når der er foreninger mv., der er frustrerede over noget lovgivning, er der selvfølgelig også politikere, der er klar til at være lige så frustrerede og kræve reglerne ændret!
Noget af kritikken er berettiget
Selvom dele af GDPR var en videreførelse af gældende regler, var der også en hel del nye krav. Og da mange af dem var meget bredt formulerede, havde mange, inklusive rådgivere som jeg selv, svært ved at afgøre, hvordan reglerne skulle fortolkes og efterleves i praksis.
Det var derfor stærkt utilfredsstillende, at Datatilsynet og Justitsministeriet buldrede frem med trusler om store bøder fra 25. maj 2018, særligt i lyset af, at en stor del af vejledningerne om de nye regler først kom efter 25. maj 2018. Dette har Datatilsynet da også for nyligt fået kritik for af Rigsrevisionen.
Her lyder kritikken også på manglende afsluttede og offentliggjorte tilsyn, da disse netop også bidrager til vores forståelse af reglerne, og da det er afgørelserne – og risikoen for bøder – der skal være afskrækkende og også motiverer til at afholde reglerne.
Datatilsynet skal dog ikke have hele skylden. Frem til 25. maj 2018 var de håbløst underbemandede, og det er de stadig. Noget tyder på, at man fra politisk side reelt ikke er interesseret i et stærkt Datatilsyn, formentlig ud fra en antagelse om, at for mange og for store bøder vil være skadeligt for den danske konkurrenceevne.
Men her glemmer man bare, at Datatilsynet ifølge forordningen er forpligtet til at sikre en effektiv håndhævelse med bøder, der er store nok til at have en præventiv effekt. Så hvis man fra politisk side fortsat afsætter for få ressourcer til Datatilsynet, kan de kun skære ét sted: Oplysning og vejledning.
Hæmmer GDPR innovationen?
Og så tilbage til omdrejningspunktet for dette indlæg: En del af kritikken er gået på, at GDPR spænder ben for myndigheder og virksomheders digitale ambitioner. På overfladen er der da også nogle åbenlyse 'modstridende interesser' mellem GDPR og ønsket om øget digitalisering, herunder særligt ift. udnyttelse af data:
GDPR er baseret på en række grundlæggende principper, herunder dataminimeringsprincippet. Det siger sig selv, at et princip om 'så få data som muligt' er i direkte konflikt med digitaliseringsbølgens mantra om 'jo flere data, jo bedre'.
Et andet princip i GDPR er kravet om formålsbestemthed, dvs. et krav om, at personoplysninger alene indsamles til bestemte formål, og at udnyttelse til nye formål (fx Big Data, samkøring, Machine Learning mv) kræver et nyt lovligt behandlingsgrundlag, opfyldelse af oplysningspligt osv.
Og i forlængelse heraf giver princippet om opbevaringsbegrænsning også en udfordring: Hvor digitaliseringsbølgen generelt har medført længere opbevaringsperioder (bl.a. fordi plads på en harddisk koster mindre end plads til et fysisk arkiv), så kræver GDPR, at man alene opbevarer personoplysninger, så længe det er nødvendigt for at opfylde det formål, de blev indsamlet til.
Sidst, men ikke mindst medfører øget digitalisering ofte øgede risici (flere data, flere enheder, flere indgange osv.), og som følger heraf stiger kravene til sikkerhed også.
It’s a feature, not a flaw
Svaret er altså: Ja, det vil i visse tilfælde medfører begrænsninger at overholde GDPR i forbindelse med udvikling og implementering af nye digitale løsninger – men det er også meningen.
Det fremgår således af nogle af de alle første sætninger i forordningen (præambel 5), at »Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger...«, og derfor er det en del af formålet med forordningen, at den digitale udvikling ikke løber helt løbsk uden hensyntagen til privatlivsbeskyttelse. Privatlivsbeskyttelsen er i øvrigt ikke det eneste, som har lidt under den uhæmmede teknologiske udvikling, og vi ser derfor også fokus på mere ansvarlighed og governance på andre områder, fx menneskerettigheder, demokrati, cybersikkerhed, forvaltningsretlige regler osv.
Med andre ord: »The Era of 'Move Fast and Break Things' Is Over. 'Minimum viable products' must be replaced by 'minimum virtuous products'...«.
Og selvom mange måske har den opfattelse, så har EU ikke vedtaget forordningen for at genere EU's virksomheder og mindske deres konkurrenceevne - tværtimod. EU gjorde det i en forhåbning om, at EU ville blive en first-mover på en global trend i retning mod mere fokus på privacy, og den målsætning ser klart ud til at blive indfriet.
De store tech-giganter som Apple og Microsoft var tidligt ude med opbakningen til GDPR, og siden da er der blevet vedtaget skærpede privatlivsregler med GDPR som forbillede i en lang række lande. Gartner forudser da også, at denne trend vil fortsætte i et hastigt tempo:
»By 2023, 65% of the world’s population will have its personal information covered under modern privacy regulations, up from 10% today.«
GDPR som medspiller i den digitale omstilling?
Så, formålet med GDPR er altså at understøtte en mere langtidsholdbar digital udvikling. Herudover er det min opfattelse, at GDPR rent faktisk kan være en medspiller i den digitale omstilling.
Her er er nogle bud på, hvordan GDPR rent faktisk kan understøtte innovation, digitalisering og indtjeningsevnen:
GDPR stiller krav om tilstrækkelig sikkerhed og udgør dermed (endnu) et argument for at øge sikkerheden generelt. Jo bedre overblik man har over sine data og sine systemer, jo bedre kan man identificere og minimere risici.
IT-chefen kan også bruge GDPR som argument for at få udskiftet forældede IT-systemer. Hvor mange nye systemer er baseret på Privacy by Design, ser vi ofte, at gamle systemer ikke er egnet til at understøtte GDPR’s krav, fx gamle SAP- og Navision-løsninger, der gør det vanskeligt/umuligt at leve op til de strenge krav til sletning.
Når man så har udskiftet systemerne, og i øvrigt sørger for at efterleve GDPR’s krav om løbende sletning, sparer man både omkostninger på hostingplads, og det bliver langt lettere og dermed billigere at skifte til et nyt system.
Data er nutidens olie, og jo bedre kvaliteten af data er, jo bedre kan data udnyttes, fx til analytics, AI/ML osv. Også her er der oplagte synergier med GDPR, der tillige stiller krav om, at data til enhver tid skal være korrekte og ajourførte.
Bedre styr på IT-leverandører og aftalerne med disse. Selvom Datatilsynets krav til kontrol med databehandlere til tider kan få karakter af unødvendigt bureaukrati, kan man jo lige så godt få det bedste ud af det: Når GDPR nu alligevel kræver, at man følger løbende op på sine leverandører, hvorfor så ikke bruge samme anledning til også at følge op på, om leverandøren i øvrigt lever op til kontrakten og SLA’en?
Harmonisering af reglerne på tværs af EU understøtter udviklingen mod stadigt stigende samhandel og kommunikation på tværs af landegrænser via internettet.
GDPR er i stigende grad et salgsparameter – både over for kunder og potentielle investorer. Nogle kundesegmenter lægger stor vægt på tillid til virksomhedens databeskyttelse i forbindelse med et køb eller tegning af abonnement. Af samme årsag ser vi en del virksomheder bruge privatlivsbeskyttelse aktivt i deres markedsføring.
»I have a dream …«
Jeg ved, at GDPR både har støtter og indædte modstandere blandt IT-folket, men jeg håber, at dette indlæg kan bidrage til, at lidt flere tager 'ja-hatten' på.
Faktum er, at GDPR er kommet for at blive, og i de nyeste strategier fra EU kan vi også se, at databeskyttelse kommer til at spille en central rolle i kapløbet mod resten af verden ift. udnyttelse af data og AI-teknologier.
Hvis ambitionen om 'GDPR-bæredygtig digitalisering' skal indfris, kræver det en indsats fra begge sider:
Vi jurister skal blive bedre til at sætte os ind i de teknologier, vi udtaler os om lovligheden af, og I, kære IT-folk, er nødt til at lade GDPR blive en del af den værktøjskasse, I bruger i jeres daglige arbejde.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk
