GDPR krydser Rubicon – vil du med?

Om fire uger, den 25. maj, træder GDPR, EU’s nye persondataforordning, i kraft, og det vrimler med kurser og konsulenter, der lover at forklare det hele på den halve tid.

Den primære, måske eneste årsag til, at virksomheder tager GDPR alvorligt, er bødestørrelsen: Op til 4 procent af den globale omsætning. Til sammenligning har overtrædelse af den nuværende datalov maksimalt kostet i størrelsesordenen 25.000 kroner.

Mere end lovgivning

Men forordningen skal ikke kun tænkes i bødestørrelser eller som et nyt stykke lovgivning. GDPR er på godt og ondt (se længere nede) et paradigmeskift i forhold til, hvordan vi anskuer og håndterer data.

Som Tom Wheeler, tidligere formand for det magtfulde FCC (Federal Communications Commission) i USA udtrykker det. ”De (EU, red.) prøver noget helt ny for første gang. Det er som at krydse Rubicon, den digitale Rubicon.”

Intet blev som før, efter Cæsar havde krydset grænsefloden i 49 f.v.t., og det samme er tilfældet for datahåndtering i EU – og måske resten af verden. USA følger interesseret med, og flere førende amerikanske politikere har anbefalet, at verdens største økonomi skal lade sig inspirere af EU.

Forstå de syv principper og Privacy by Design

Den bedste måde at beskrive GDPR – og samtidig understrege min pointe om paradigmeskift – er de syv styrende principper.

1. Lovlighed, rimelighed og gennemsigtighed

Oplysningerne skal behandles lovligt, rimeligt og på en gennemsigtig måde for den registrerede. Man kan altså ikke dække sig ind bag juridiske aftaler, hvis aftalerne ikke er rimelige og klare.

2. Formålsbegrænsning   

Oplysningerne må kun indsamles til de eksplicit angivne saglige formål, de er indsamlet til. Vi går fra nice-to-have til need-to-have.

3. Dataminimering

Som en naturlig konsekvens af princip nummer 2 bør virksomheden konsekvent arbejde på at minimere mængden af persondata.

4. Rigtighed

Virksomheden skal kunne stå inde for rigtigheden af sine persondata. Du må ikke have urigtige personoplysninger liggende, men skal sikre dig deres validitet, også selv om du ikke bruger disse data aktivt.

5. Opbevaringsbegrænsning

Mange persondata må kun opbevares i seks måneder, hvorefter de skal slettes.

6. Integritet og fortrolighed

Oplysningerne skal beskyttes mod uberettiget eller ulovlig behandling, ødelæggelse og beskadigelse. I tilfælde af et brud på fortroligheden skal de berørte datasubjekter informeres uden unødigt ophold.

7. Ansvarlighed

De dataansvarlige har ansvaret for og skal kunne dokumentere, at grundprincipperne er overholdt.

Tænk data fra starten

De syv principper er vidtrækkende og kræver ændringer i hverdagen. Alene #5 om opbevaringsbegrænsning er en svær øvelse, fordi systemerne ikke er indrettet til noget sådant. Og det er netop pointen med GDPR – at man skal indrette sig anderledes.

Det er også grundtanken i Privacy by Design. Hvor datasikkerhed ikke er en eftertanke i et projekt eller produkt, men bliver tænkt ind fra starten. Altså en grundlæggende anderledes tilgang end i dag, hvor data betragtes som noget, der bare er der.

Det var opsangen til virksomhederne, men resten af samfundet bør også være opmærksom og deltage.

Indvendinger mod GDPR

GDPR er et velkomment forsøg på at få styr på persondata i et digitalt univers, men det er ikke nødvendigvis den bedste metode. Her er tre indvendinger.

1. Tysk (over)forsigtighed

Forordningen kraftigt inspireret af den tyske holdning til privatliv vs. overvågning. I EU’s største land har man i forvejen nogle af verdens mest vidtgående love, fordi Tyskland har en problematisk fortid med overvågning af sine borgere. Men hvem siger, at den specielle tyske indstilling skal gælde for alle i Europa?

2. Urealistisk konstruktion

Selve konstruktionen i GDPR – at lade individet, datasubjektet, være omdrejningspunkt for datahåndtering – kan være problematisk. Det mener den amerikanske forfatter og dataspecialist Cathy O’Neil. Det bliver for besværligt og uigennemsigtigt, hvis alle data skal knyttes til det enkelte individ. O’Neil foreslår i stedet, at man gennemfører data audits, lige som revisoren gennemgår en virksomheds regnskab.

3. Økonomisk møllesten

GDPR koster mange ressourcer. Som al anden regulering er det en byrde på virksomhederne, og i dette tilfælde en ganske betragtelig af slagsen. Jeg har ikke kunnet finde nogen officielle tal, men baseret på de efterhånden rigtig mange samtaler, jeg har haft om GDPR, er det massivt.

Forordningen vil også resultere i direkte tab i de brancher, som arbejder med data, analytics og marketing i dag. En rapport fra Deloitte vurderer skaden til 173 milliarder euro og 2,8 millioner job.

Alligevel argumenterer EU og tilhængerne af forordningen, at resultatet vil være økonomisk vækst. GDPR vil skabe en ”personal data economy,” hvor en GDPR-kompatibel adfærd giver konkurrencefordele. Optimismen er dog snarere baseret på forhåbninger end fakta. I første omgang vil GDPR være en økonomisk møllesten om halsen på EU’s i forvejen sløve økonomi.

Så hvad skal vi mene om GDPR? Det handler ikke kun om data eller regler, men hvordan vi vil opfatte og behandle individet på den anden side af den digitale Rubicon.

Er terningerne kastet?

 

 

 

One response to “GDPR krydser Rubicon – vil du med?

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *