05-05-2020

Gode intentioner i besværlig indpakning: GDPR til eksamen

Af direktør Kasper Skov-Mikkelsen, SikkerhedsBranchen

I denne måned er det to år siden, de fælleseuropæiske krav til databeskyttelse i GDPR skulle være implementeret i hele EU, og i den anledning skal forordningen evalueres både på nationalt og europæisk plan. I SikkerhedsBranchen har vi arbejdet aktivt for at hjælpe medlemmerne med at forstå og overholde kravene, og nu er vi blevet inviteret til at deltage i evalueringerne. Det gør vi naturligvis gerne, for der er rigeligt at tage fat på.

Der skal ikke være nogen tvivl om, at både SikkerhedsBranchen og jeg personligt bakker op om intentionerne bag GDPR. Hvis man indsamler og behandler data, påtager man sig et ansvar, som man ikke må tage let på. Derfor er det kun rimeligt, at der med dataindsamling følger en række sikringskrav, og når vi nu har et EU og et frit indre marked, giver det jo god mening, at kravene er de samme, uanset om man er en dansk, tysk eller spansk virksomhed.

Men der er masser i GDPR, der kan forbedres. SikkerhedsBranchen har stillet et rammesystem til GDPR til rådighed for vores medlemmer, et rammesystem, som vi også selv har brugt til vores egen databehandling. I arbejdet med det blev det meget tydeligt, at GDPR i sin nuværende form er for uhåndterbar og for ukonkret på mange områder.

Det er vores erfaring, at store virksomheder køber sig til hjælp med GDPR, mens mange små og mellemstore virksomheder lader sig slå ud af kompleksiteten i kravene og opgiver. Derfor er en af SikkerhedsBranchens største anbefalinger at gøre GDPR mere overskuelig i sin form. Vi har i Danmark fået gode vejledninger fra Datatilsynet, men der er mange, og de er komplekse. Et rammesystem, der konkret viser virksomhederne, hvordan de kan løse deres persondatabeskyttelse, ville være en uvurderlig hjælp.

Derudover bør selve kravene være lettere forståelige og langt mere konkrete. Jeg taler hver uge med medlemmer, der egentlig har forstået kravene, men som ikke aner, hvad de skal stille op med dem. For alt for meget i GDPR er ladt op til den enkelte dataansvarlige. Hvordan laver man for eksempel en tilfredsstillende fysisk sikring af data? Hvor går grænsen mellem at levere en håndværksmæssig ydelse og at være databehandler? Igen og igen må jeg svare, at det er en individuel vurdering. SikkerhedsBranchen stiller flere vejledninger til råd for medlemmerne, og vi arbejder faktisk på udfordringen med fysisk sikring lige nu, men i sidste ende bliver det jo vores kvalificerede bud, der igen åbner for, at det enkelte medlem skal vurdere det selv.

Jeg er helt med på, at det er hensigten med GDPR at få den enkelte dataansvarlige til at tænke selv, og det er grundlæggende en god idé. Men hvor meget er det realistisk, at den enkelte forventes at skulle kunne regne ud uden hjælp og under truslen om bøder, hvis det alligevel ikke er godt nok? Der er ikke noget at sige til, at folk har spørgsmål.

Det hjælper heller ikke, at selve formuleringen af GDPR er så indviklet og svært læselig, at det ikke kan forventes, at virksomheder skal kunne læse og forstå den. Selv jurister har svært ved at forstå teksten, og det fører til et hav af forskellige tolkninger og yderligere overimplementering, for det ligger naturligt for os jurister at anbefale både livrem og seler, hvis lovteksten er uklar. Jeg har personligt arbejdet meget og indgående med forordningen, og jeg skal stadig holde tungen lige i munden hver gang, for GDPR er bare mere snørklet og uklart skrevet end en normal lovtekst.

Når man nu er i gang med en omskrivning af forordningen, kunne man passende samtidig se på en bagatelgrænse for, hvilke typer data der skal være omfattet af GDPR. De fleste af os har jo selv lagt navn, virksomhedstilknytning og vores simple kontaktdata frit tilgængelige på internettet, og så giver det altså ikke mening at de data skal nyde særlig beskyttelse og volde besvær. Eller at man skal modtage flere siders udredning om, hvordan en myndighed opbevarer data, fordi man sender et høringssvar fra sin arbejdsmail.

Den slags åbenlyse tåbeligheder gør os i sidste ende bare irriterede på GDPR og får de ellers gode intentioner til at fremstå som en administrativ øvelse, EU trækker ned over hovedet på os. Derfor foreslår SikkerhedsBranchen, at banalt persondata undtages fra GDPR.

Endelig vil vi i evalueringerne foreslå, at der fremover fares med lempe, når der laves fælleseuropæiske vejledninger og fortolkninger af GDPR. I januar blev der vedtaget en vejledning for blandt andet tv-overvågning i de europæiske datatilsyns fællesorgan, EDPB. Heraf fremgår krav til for eksempel gemmetid, skiltning, udleveringspligt og lydoptagelse, som går langt ud over den danske lovgivning og praksis. Heldigvis for os danskere holder vores justitsministerie fast i, at vores nationale råderum giver plads til, at det er vores lovgivning og praksis, der gælder, så dansk tv-overvågning kan fortsætte uændret. Men vejledningen er et glimrende eksempel på, at en fælles fortolkning i praksis kan blive en voldsom og utilsigtet stramning i det enkelte land, og der er ingen garantier for, at vi hver gang vil kunne modsætte os stramninger, der på den måde kommer snigende ad bagvejen.

Alt dette har vi allerede meldt ind til den europæiske evaluering, der nu er lukket for input. Til sommer starter den danske evaluering, og her vil SikkerhedsBranchens medlemmer blive inviteret til at komme med både generelle input og eksempler på steder, hvor GDPR volder dem og deres kunder unødigt besvær. Så håber jeg bare, at der bliver lyttet grundigt til de enkelte landes input, så vi sammen kan få skabt en ny og forbedret version af GDPR, som både bygger på gode intentioner og fungerer i praksis ude i virksomhederne.



Leverandører
Ændre marked
Tilbage til toppen
Luk