GDPR: EUs gave til big tech og et kvælertag på al europæisk innovation

Brødtekst

I en tidligere blogpost på Version2 er det tilsyneladende faldet læsere for brystet, at jeg formastede mig til at sige noget negativt om GDPR. Det handlede dog ikke om GDPR, men den måde det blev modtaget på.

Men jeg vil da gerne sige noget negativt om GDPR, hvis det skal være.

GDPR vil nok altid stå som en milepæl, der ændrede dynamikken for behandling af persondata på verdensplan. Isoleret set byder den ikke på så meget nyt i forhold til, hvad der allerede har været på plads i årtier i forskellige landes lovgivning og andre regulatoriske paradigmer som f.eks. HiPAA.

Det, som er det kraftfulde og en "game changer", er, at disse isolerede domænespecifikke persondatabeskyttelser blev generaliseret til at gælde alle former for persondata. Det skal vi for altid være EU taknemmelige for (amen).

Men…en ting er signaler, politik, agendaer og feel good-faktor, en anden ting er effekt og reel impact. Her ser det en lille smule anderledes ud. GDPR rammer nemlig de små og svage firmaer meget hårdere end de store, som har uanede budgetter og advokater, der kan vildlede (myndighederne). GDPR er en kæmpe succes for Google, Facebook og Amazon, som har en hær af advokater, og let kan bruge et par millioner til at retouchere deres praksis, så den ser acceptabel ud.

Det har sikkert både tvunget konkurenter ud af markedet og afskåret andre for at prøve at komme ind på markedet af frygt for GDPR-inkvisitionen. Hvem i dag ville være dum nok til overhovedet at prøve på at lave et socialt netværk? GDPR er en gave til den etablerede tech-industri, som gør, at de kan sove trygt om natten de næste mange år. Det har væsentligt øget "barriers of entry" til deres marked, og dermed styrket deres markedsposition.

For en startup vil det kræve forholdsvist meget mere at hyre en overbetalt konsulent til at sikre, at løsninger og processer svarer til GDPRs krav. Jeg har selv haft en start up der blev nød til at registrere brugerdata. Derfor er vi tvunget til at spilde vores tid på at prøve at forstå vage EU-regler og, hvordan deres juridiske status påvirker vores praksis og at krydse fingre for, at vi ikke uforvarende bryder nogle regler.

Jeg har selv slettet alt, vi udviklede, for ikke at blive fanget af GDPR-inkvisitionen. Det var alligevel ikke en succes, men det kræver væsentligt mere at blive ved med at prøve, når man har GDPR-spøgelset, der ånder en i nakken. Langt de fleste vækstvirksomheder ville blive ramt på bundlinjen, og blive truet på deres eksistens, hvis de skulle være helt sikre på ikke at komme til at bryde en GDPR-regel. For en virksomhed med omsætning på milliarder betyder det intet. Hvis der kommer en dom, kan de jo bare appellere. Den reelle effekt af GDPR er derfor, at innovation og vækstlaget i Danmark og Europa bliver ramt.

Anekdotisk kan jeg fortælle, at jeg har lavet mine egne GDPR-nedslag hos start ups og kan dokumentere, at det sejler. Hvis jeg anmeldte disse, ville de sandsynligvis få en kæmpe bøde. Men det gør jeg ikke, jeg holder det for mig selv. Jeg synes det er unfair over for innovative start ups, der bruger al deres kapacitet på at lave nye løsninger, der kan gøre det bedre end de etablerede tech-selskaber. Hvis jeg anmeldte det, ville jeg blot gå de store tech-selskabers vej. For de skal nok kunne svare for sig.

Hvad betyder GDPR så egentlig?

Et andet problematisk forhold er, at GDPR er skrevet så tilpas vagt, at det er tæt på umuligt at gennemskue, hvad der er nok. Det betyder, at folk, der altid har taget love og retningslinier seriøst og gjort deres bedste, er sendt på overarbejde, og organisationer, der altid har været ligeglade, har masser af skyts til at argumentere for de ikke har kunnet vide præcist, hvad de skal gøre.

Selvfølgelig kan man blive fanget for groft uagtsom opførsel, men der er så meget gråzone, at effekten stadig favoriserer dem, som lige akkurat gør nok til, at de kan sige, de har prøvet, men er ligeglade.

Lad mig give et eksempel: læs GDPR igennem, og fortæl mig, hvad du skal gøre med logning? Svaret er: it depends - det skal bare være godt nok. Det samme med kryptering. Tiltagene skal bare være risikobaserede. Men de mest uansvarlige har jo netop en fordrejet opfattelse af risiko, mens de ansvarlige har en overdrevet opfattelse af risiko. Effekten er derfor, at der ganske givet er kommet pres på Google, Facebook og Amazon, men også at et europæisk alternativ til den amerikanske tech-dominans er endnu længere væk end nogensinde.

Hvad kan man gøre ved det?

GDPR må lave en standard ligesom ISO 27001 som er "lidt" mere specifik omkring de konkrete praksisser, man forestiller sig. Det er ikke godt nok bare at skubbe lorten tilbage til markedet og sige, at det må I selv finde ud af, men hvis vi ikke er tilfredse, når vi kommer på besøg, får I en milliard-bøde.

Der har også været snak om, at det skal være praksis, at der i først omgang altid gives påbud og KONKRETE anvisninger på, hvordan et firma kan få bragt sig på linie med retningslinjerne. Det vil være en stor hjælp og betyde, at innovative start ups ikke behøver at være så bange. De vil i stedet kunne gøre deres bedste for at følge retningslinjerne uden at spilde unødvendige millioner på advokater, og dyre rådgivere som jeg.

For forbrugerne er det selvfølgeligt dejligt, at der er en beskyttelse, og jeg ved, at mange vil hade mig for dette, men jeg mener også, at et samfund er mere end dets forbrugere. Jeg mener også, at det faktisk vil skade forbrugerne, fordi det vil presse innovationen og lede til dårligere services, der alle vil være metervare amerikansk-orienteret mainstream. Tak, EU.