Hvorfor er GDPR stadig så svær at håndtere?

Databeskyttelsesforordningen (GDPR) har nu været gældende i mere end tre år. Alligevel hersker der rundt omkring stadig en del tvivl om, præcis hvordan den skal håndteres. Det skyldes efter alt at dømme flere forskellige faktorer, som hver især har forskellige løsninger. Her skal kun fremhæves to.

Asymmetrisk udvikling imellem viden og lovgivning
Det første problem er, at lovgivningen forudsætter en viden, som ikke (endnu) er færdigudviklet. Helt grundlæggende, så er lovgivning om personoplysninger ikke et nyt fænomen. Principperne i GDPR stammer fra EU’s persondatadirektiv fra 1995, som blev implementeret med den danske persondatalov i 2000, og reglerne har derfor været gældende i mere end tyve år. Men sandsynligvis fordi der ikke var store bøder forbundet med overtrædelser, var det ikke noget, der fik den store opmærksomhed.

Den manglende opmærksomhed har betydet, at der er en asymmetri mellem lovgivningens udvikling og vidensniveauet om lovgivningens implementering. GDPR er tænkt som en konkretisering og lettere stramning af Persondatadirektivet. Havde man styr på sine persondata ifølge Persondatadirektivet, burde det altså ikke være svært at leve op til GDPR. Men fordi Persondatadirektivet ikke fik megen opmærksomhed, er der heller ikke den vidensakkumulering, som man ellers kunne have forventet med en 20 år gammel lovgivning – hverken hos tilsyn, domstole eller de enkelte dataansvarlige. Ikke fordi der ikke er nogen akkumuleret viden; den er bare ikke nær så stor, som den kunne eller burde have været. Det har også påvirket udformningen af GDPR, som ikke altid er så præcis, som den kunne have været, hvis praksis havde været bedre udviklet. F.eks. kunne definitionen af, hvornår en behandling af personoplysninger er personlig og dermed falder uden for reglerne, med fordel have været præciseret mere.

Dette problem løses kun ved, at vi får mere praksis. Det ser heldigvis i skrivende stund ud til at Datatilsynet ikke bliver nedskåret på den nye finanslov, hvilket der ellers var lagt op til, men skal vi hurtigt løse problemet med asymmetri, kræver det bl.a., at Datatilsynet får endnu flere midler tilført. På den måde kan vi få flere sager afgjort, og der kan blive udarbejdet mere vejledning.

Manglende kulturændring
Det andet problem er, at det (stadig) er nyt for mange virksomheder, at der stilles krav til, hvordan de håndterer personoplysninger. Skal håndteringen af personoplysninger overholde loven, kræver det, at GDPR-overvejelser bliver en naturlig del af driften. Det kræver i langt de fleste tilfælde en ændring af virksomhedens kultur. Det er som bekendt ikke nemt at ændre virksomhedskulturer, og det kræver som minimum en helhjertet indsats fra ledelsen – en indsats, som i mange tilfælde ikke har været til stede. Løsningen på dette problem kan kun findes hos den enkelte virksomhed, som skal tage GDPR alvorligt og afsætte ressourcer til både en indledende kortlægning af brugen af personoplysninger og den løbende opfølgning. Samtidig skal det signaleres til alle medarbejdere, at lovgivningen skal tages alvorligt, da overholdelsen af reglerne afhænger af, at alle, der har persondata i hænderne, ved, hvad de skal og må.

Myndighederne har nok i større grad end private virksomheder vidst, at der blev stillet krav, men de har heller ikke altid haft beskyttelsen af personoplysninger højest på prioriteringslisten. Også her er der altså brug for kulturændringer.

Hurtige kulturændringer gør ondt – især når de er så store, som mange oplever, at GDPR er. Der skal groft sagt indhentes 20 års manglende overholdelse af Persondatadirektivet, og det er noget af en mundfuld for de fleste.

Manglende kulturændringer fører til manglende viden
Grunden til at GDPR er svær at håndtere for mange er altså både manglende viden og manglende kulturændringer. Paradoksalt nok har den manglende kulturændring ifm. Persondatadirektivet ført til den mangelfulde praksis, så der er tale om to indbyrdes forbundne problemer, der forstærker hinanden. Når der ikke sker kulturændringer, er der heller ikke nogen, der stiller de spørgsmål, som kan føre til mere viden. Mangelfuld viden fører igen til mindre motivation for kulturændring, og den mangelfulde kulturændring fører til manglende viden, og sådan kan problemerne fortsætte i det uendelige i en negativ spiral.

Selv om der endnu er meget, vi ikke ved om, hvordan GDPR helt konkret skal forstås, så ved vi dog langt mere i dag end for bare et år siden. Den manglende viden er med andre ord ved at blive udbedret, om end der stadig er et stykke vej, til vi er i mål. Skal udviklingen gå hurtigere, vil det kræve, at Datatilsynet bliver endnu mere aktivt, og dermed også, at det får tilført tilstrækkelige midler.

Den enkelte virksomhed kan dog ikke tillade sig at sætte sig tilbage og vente på, at Datatilsynet får udarbejdet flere vejledninger. Datatilsynet vælger, hvilke vejledninger der laves, ud fra en vurdering af bl.a. hvilke spørgsmål det får stillet af omverdenen. Derfor skal virksomhederne sætte (endnu mere) skub på kulturændringerne internt, så de kan stille de svære og indviklede spørgsmål til Datatilsynet. Tilsynet kan så udarbejde de vejledninger, som der er mest brug for, og på den måde skabe en positiv udvikling, der kan afhjælpe fortidens synder.

Af lektor Ayo Næsborg-Andersen

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out /  Skift )

Google photo

Du kommenterer med din Google konto. Log Out /  Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out /  Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out /  Skift )

Connecting to %s

Create a website or blog at WordPress.com

Up ↑