Er GDPR en med- eller modspiller for innovation?

GDPR fylder to år, og it-advokat Jesper Løfler Nielsen tager status.
Brødtekst

GDPR påvirker alle dele af vores liv, arbejdsmæssigt såvel som privat, og af samme årsag har de fleste også en holdning til reglerne. I dette indlæg blander jeg mig i et lille hjørne af debatten omkring GDPR, nemlig spørgsmålet om, hvorvidt GDPR og det medfølgende bureaukrati er til hinder for innovation og digitalisering.

GDPR-bashing er moderne – igen

Der var rigtig meget kritik af GDPR frem til d. 25. maj 2018, hvor alle forsøgte at blive bare lidt klar til at tage imod Datatilsynet med nogenlunde oprejst pande.

Efter en stille periode skal jeg da ellers lige love for, at det her i 2020 igen er blevet moderne at kritisere GDPR. Startskuddet kom fra KL, der d. 27. januar offentliggjorde deres '40 GDPR benspænd' med introteksten:

»Hver eneste dag slås landets kommuner nærmest helt bogstaveligt med implementeringen af den nye databeskyttelsesforordning, i daglig tale blot kaldet GDPR. KL har samlet et udsnit af eksempler på, hvordan GDPR spænder ben for kommunernes arbejde

Det er oplagt, at frustrationerne fra KL og kommunerne er reelle og skal tages alvorligt, men omvendt er det lige så oplagt, at det som altovervejende udgangspunkt ikke er reglerne, der er problemet.

Langt de fleste af de 40 benspænd er således baseret på misforståelser eller fejltolkninger af reglerne, hvilket Datatilsynet også gjorde klart, da de få dage efter offentliggjorde svar på samtlige 40 punkter.

Herudover er der også en række af de 40 punkter, som omhandler krav, der har været gældende siden, vi i Danmark vedtog persondataloven i år 2000. Dermed er en stor del af den nuværende arbejdsbyrde begrundet i, at kommunerne ikke har haft nok fokus på/afsat tilstrækkelige ressourcer til at overholde de gamle persondataregler.

Den samme tanke får man i øvrigt også, når IT-Branchen udtrykker frustration over, hvor dyrt det i de foregående har været for deres medlemmer at forsøge at leve op til GDPR's krav . Man kan utvivlsomt finde eksempler, hvor GDPR rammer skævt fx overfor små IT-virksomheder, men jeg vil antage, at størstedelen af regningen er landet hos landets største IT-virksomheder - dvs. hos dem, der tjener milliarder af kroner på at behandle de aller mest følsomme oplysninger om os danskere.

Endelig: Når der er foreninger mv., der er frustrerede over noget lovgivning, er der selvfølgelig også politikere, der er klar til at være lige så frustrerede og kræve reglerne ændret!

Noget af kritikken er berettiget

Selvom dele af GDPR var en videreførelse af gældende regler, var der også en del nye krav. Og da mange af dem var meget bredt formulerede, har mange haft svært ved at afgøre, hvordan reglerne skulle fortolkes og efterleves i praksis.

Det var derfor stærkt utilfredsstillende, at en stor del af vejledningerne fra Datatilsynet om de nye regler først er kommet efter 25. maj 2018. Dette har Datatilsynet da også for nyligt fået kritik for af Rigsrevisionen.

Her lyder kritikken også på manglende afsluttede og offentliggjorte tilsyn, da disse netop også bidrager til vores forståelse af reglerne, og da det er afgørelserne – og risikoen for bøder – der skal være afskrækkende og også motiverer til at afholde reglerne.

Datatilsynet har stadig for få ressourcer - men hvorfor har de egentlig det?

Datatilsynet skal dog ikke have hele skylden. Frem til 25. maj 2018 var de håbløst underbemandede, og det er de øjnesynligt stadig. Noget tyder på, at man fra politisk side reelt ikke er interesseret i et stærkt Datatilsyn, formentlig ud fra en antagelse om, at for mange og for store bøder vil være skadeligt for den danske konkurrenceevne.

Der pågår også pt. en evaluering af den danske del af databeskyttelsesreglerne, dvs. den (begrænsede!) del af reglerne, Danmark selv kan ændre uafhængigt af resten af EU. I denne forbindelse kræver mange organisationer, inklusive KL og ITB, at Datatilsynet fremover skal have fokus på vejledning fremfor bøder.

Det synes derfor relevant at minde om, at Datatilsynet ifølge forordningen er forpligtet til at sikre en effektiv håndhævelse med bøder, der er store nok til at have en præventiv effekt overfor virksomheder og foreninger. Så hvis man fra politisk side fortsat afsætter for få ressourcer til Datatilsynet, kan de kun skære ét sted: Oplysning og vejledning. Dermed er den eneste vej frem at tilføre Datatilsynet nok ressourcer, således at de både kan leve op til forpligtelsen om en effektiv håndhævelse OG give mere og bedre vejledning.

Hæmmer GDPR innovationen?

Og så tilbage til omdrejningspunktet for dette indlæg: En del af kritikken er gået på, at GDPR spænder ben for myndigheder og virksomheders digitale ambitioner. På overfladen er der da også nogle åbenlyse 'modstridende interesser' mellem GDPR og ønsket om øget digitalisering, herunder særligt ift. udnyttelse af data:

  • GDPR er baseret på en række grundlæggende principper, herunder dataminimeringsprincippet. Det siger sig selv, at et princip om 'så få data som muligt' er i direkte konflikt med digitaliseringsbølgens mantra om 'jo flere data, jo bedre'.

  • Et andet princip i GDPR er kravet om formålsbestemthed, dvs. et krav om, at personoplysninger alene indsamles til bestemte formål, og at udnyttelse til nye formål (fx Big Data, samkøring, Machine Learning mv) kræver det ofte et nyt lovligt behandlingsgrundlag, opfyldelse af oplysningspligt osv.

  • Og i forlængelse heraf giver princippet om opbevaringsbegrænsning også en udfordring: Hvor digitaliseringsbølgen generelt har medført længere opbevaringsperioder (bl.a. fordi plads på en harddisk koster mindre end plads til et fysisk arkiv), så kræver GDPR, at man alene opbevarer personoplysninger, så længe det er nødvendigt for at opfylde det formål, de blev indsamlet til.

  • Sidst, men ikke mindst medfører øget digitalisering ofte øgede risici (flere data, flere enheder, flere indgange osv.), og som følger heraf stiger kravene til sikkerhed også.

It’s a feature, not a flaw

Svaret er altså: Ja, det vil i visse tilfælde medfører begrænsninger at overholde GDPR i forbindelse med udvikling og implementering af nye digitale løsninger – men det er også meningen.

Det fremgår således af nogle af de alle første sætninger i forordningen (præambel 5), at »Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger...«, og derfor er det en del af formålet med forordningen, at den digitale udvikling ikke løber helt løbsk uden hensyntagen til privatlivsbeskyttelse. Privatlivsbeskyttelsen er i øvrigt ikke det eneste, som har lidt under den uhæmmede teknologiske udvikling, og vi ser derfor også fokus på mere ansvarlighed og governance på andre områder, fx menneskerettigheder, demokrati, cybersikkerhed, forvaltningsretlige regler osv.

Med andre ord: 'Move Fast and Break Things'-æraen er ved at være forbi, og fremover må IT-folk lære at kombinere innovation og agilitet med ansvarlighed og governance.

Og selvom mange måske har den opfattelse, så har EU ikke vedtaget forordningen for at generere EU's virksomheder og mindske deres konkurrenceevne - tværtimod. EU gjorde det i en forhåbning om at EU ville blive en frontløber på en global trend i retning mod mere fokus på privacy, og den målsætning ser klart ud til at blive indfriet.

De store tech-giganter som Apple og Microsoft var tidligt ude med opbakningen til GDPR, og siden da er der blevet vedtaget skærpede privatlivsregler med GDPR som forbillede i en lang række lande. Gartner forudser da også, at denne trend vil fortsætte i et hastigt tempo:

»By 2023, 65% of the world’s population will have its personal information covered under modern privacy regulations, up from 10% today.«

GDPR som medspiller i den digitale omstilling?

Så, formålet med GDPR er altså at understøtte en mere langtidsholdbar digital udvikling. Herudover er det min opfattelse, at GDPR rent faktisk kan være en medspiller i den digitale omstilling.

Her er er nogle bud på, hvordan GDPR rent faktisk kan understøtte innovation, digitalisering og indjeningsevnen:

  • GDPR stiller krav om tilstrækkelig sikkerhed og udgør dermed (endnu) et argument for at øge sikkerheden generelt. Jo bedre overblik man har over sine data og sine systemer, jo bedre kan man identificere og minimere risici.

  • IT-chefen kan også bruge GDPR som argument for at få udskiftet forældede IT-systemer. Hvor mange nye systemer er baseret på Privacy by Design, ser vi ofte, at gamle systemer ikke er egnet til at understøtte GDPR’s krav, fx gamle SAP- og Navision-løsninger, der gør det vanskeligt/umuligt at leve op til de strenge krav til sletning.

  • Når man så har udskiftet systemerne, og i øvrigt sørger for at efterleve GDPR’s krav om løbende sletning, sparer man både omkostninger på hostingplads, og det bliver langt lettere og dermed billigere at skifte til et nyt system.

  • Data er nutidens olie, og jo bedre kvaliteten af data er, jo bedre kan data udnyttes, fx til analytics, AI/ML osv. Også her er der oplagte synergier med GDPR, der tillige stiller krav om, at data til enhver tid skal være korrekte og ajourførte.

  • Bedre styr på IT-leverandører og aftalerne med disse. Selvom Datatilsynets krav til kontrol med databehandlere til tider kan få karakter af unødvendigt bureaukrati, kan man jo lige så godt få det bedste ud af det: Når GDPR nu alligevel kræver, at man følger løbende op på sine leverandører, hvorfor så ikke bruge samme anledning til også at følge op på, om leverandøren i øvrigt lever op til kontrakten og SLA’en?

  • Harmonisering af reglerne på tværs af EU understøtter udviklingen mod stadigt stigende samhandel og kommunikation på tværs af landegrænser via internettet.

  • GDPR er i stigende grad et salgsparameter – både over for kunder og potentielle investorer. Nogle kundesegmenter lægger stor vægt på tillid til virksomhedens databeskyttelse i forbindelse med et køb eller tegning af abonnement. Af samme årsag ser vi en del virksomheder bruge privatlivsbeskyttelse aktivt i deres markedsføring.

»I have a dream …«

Jeg ved, at GDPR både har støtter og indædte modstandere blandt IT-folket, men jeg håber, at dette indlæg kan bidrage til, at lidt flere tager 'ja-hatten' på.

GDPR er ikke perfekt, og visse af kravene var stort set forældede allerede ved reglernes ikrafttræden - men det er hvad vi har, og reglerne bliver ikke lavet om lige foreløbigt. I de seneste strategier fra EU kan vi da også se, at GDPR kommer til at spille en central rolle i kapløbet mod resten af verden ift. udnyttelse af data og AI-teknologier: "Citizens will trust and embrace data-driven innovations only if they are confident that any personal data sharing in the EU will be subject to full compliance with the EU’s strict data protection rules."

Hvis ambitionen om 'GDPR-bæredygtig digitalisering' skal indfris, kræver det en indsats fra begge sider:

Vi jurister skal blive bedre til at sætte os ind i de teknologier, vi udtaler os om lovligheden af, og I, kære IT-folk, er nødt til at lade GDPR blive en del af den værktøjskasse, I bruger i jeres daglige arbejde.