Derfor har GDPR gjort en forskel

VIDEN UDEFRA: Har GDPR gjort en forskel, eller er det bare en papirtiger, som gør IT-konsulenter og advokater rigere uden at have en reel effekt? Det spørgsmål forholder Henning Mortensen, IT-sikkerhedschef i Bdr. A&O Johansen, sig til i følgende indlæg.

Af Henning Mortensen
Chief Informations Security Officer i Bdr. A&O Johansen

GDPR har gjort, at der det sidste år er blevet arbejdet mere med beskyttelse af personoplysninger, end der er gjort tilsammen i de foregående 15 år.

Rigtig mange organisationer har kastet rigtig mange ressourcer efter persondatabeskyttelse.

Vi har kortlagt vores personoplysninger. Vi har fået fastlagt, hvorfor vi har dem. Vi har slettet de oplysninger, vi ikke har brug for, og derfor ikke har lov til at have. Vi har lavet procedurer for, hvordan vi omgås personoplysninger på en fornuftig måde.

Vi har implementeret nye sikkerhedsteknologier, som skal beskytte oplysningerne, så der er mindre sandsynlighed for, at vi bliver kompromitteret, eller at oplysningerne sejler rundt på steder, hvor de ikke bør være. Vi har ændret designet i nogle af vores systemer, så de registreredes garantier i højere grad kan understøttes.

Vi har begyndt en proces, hvor vi i højere grad forsøger at få styr på vores leverandører, end det nogensinde er sket før. Vi har forbedret vores kompetencer og trænet vores medarbejdere i, hvordan oplysningerne må behandles.

GDPR har uomtvisteligt hævet sikkerhedsniveauet for behandling af personoplysninger og i øvrigt hævet sikkerheden for data og systemer over en bred kam.

Derfor har GDPR gjort en forskel.










GDPR som juridisk instrument

Udover at hæve sikkerhedsniveauet har GDPR også den funktion, at den ligesom det eksisterede direktiv kriminaliserer den omgang med personoplysninger, som politikerne har fundet uønsket.

Hvis vi ikke havde GDPR eller tilsvarende, ville der ikke være nogle juridiske grænser for, hvad man kunne gøre med personoplysninger.

Uden GDPR eller tilsvarende kunne vi ikke komme efter banditterne, fordi banditternes aktiviteter ikke ville være ulovlige.

Derfor har GDPR gjort en forskel.

GDPR skal ses som en operationalisering af en fundamental rettighed for mennesker. Vi skal hele tiden huske på, at målet er beskytte de registreredes fundamentale rettigheder.

Alle vores tekniske og organisatoriske foranstaltninger og alle vores complianceøvelser er kun midler til at opnå denne beskyttelse. Denne fundamentale rettighed ville det være meget vanskeligt at beskytte, hvis vi ikke havde GDPR til at guide os.

Derfor har GDPR gjort en forskel.

Bøderne har været meget forhadte fra mange sider. Men der er ikke nogen tvivl om, at bøderne mere end noget andet har været det virkemiddel, der har gjort, at vi er begyndt at tage behandling af personoplysninger alvorligt.

Det er desværre frygten for bøderne og ikke en pludselig interesse for at beskytte personoplysninger, der har drevet meget af udviklingen. Uanset hvad man i øvrigt måtte mene om bøder, er bøder i den størrelsesorden noget, der er introduceret med GDPR, og derfor har GDPR gjort en forskel.

Vi er ikke i mål
Der er ikke nogen tvivl om, at vi alle ikke er i mål, når vi når 25. maj 2018, og GDPR får virkning.

Det er i og for sig også af mindre betydning. Det væsentlige er, at de fleste af os på grund af GDPR hver især har gjort en seriøs indsats for at beskytte personoplysninger.

Vi har sat en retning for at beskytte personoplysninger, og vi har forhåbentlig også lavet nogle foranstaltninger, der gør, at de foranstaltninger vedligeholdes. Om vi så er helt i compliance netop den 25. maj, juli eller september betyder mindre.

Om vi er i mål med håndhævelsen, må vi se gennem de kommende år.

Hvis Datatilsynet ikke har ressourcer nok til at udføre tilstrækkeligt med kontroller, være tilstrækkeligt dybdeborende især i forhold til den tekniske gennemgang af sine sager, ikke har ressourcer til at vejlede organisationerne tilstrækkeligt med de svære spørgsmål i forhold i GDPR eller ikke har vilje til at bruge bøderedskabet, får vi en udfordring med håndhævelsen.

Uanset GDPR vil der altid være brodne kar som Cambridge Analytica, men det er ikke forskelligt fra andre retsområder – og GDPR gør som nævnt, at vi kan komme efter dem.

Uanset GDPR vil der også blive lavet politiske forslag, som set fra en isoleret privacysynsvinkel ikke er ønskværdige, som eksempelvis forslaget om et Nationalt Genom Center – her giver GDPR os en målestok, som vi kan vurdere sådanne initiativer ud fra.

Nogle vil hævde, at GDPR ikke går langt nok i forhold til at give de registrerede kontrol med egne data, men i forhold til de eksisterende regler står krav til design med empowerment af de registrerede, konsekvensanalyser og pseudonymisering meget mere centralt i GDPR, end det på noget tidspunkt har gjort i nogen anden lovgivning.

Derfor vil jeg mene, at GDPR på alle måder har gjort en stor forskel.

____________________________________________

Disclaimer
Denne artikel er udtryk for et personligt synspunkt. Ingen organisationer, hvor Henning Mortensen har eller har haft sit virke, kan tages til indtægt for synspunkterne.

Forrige artikel Teknik – ikke politik – ændrer samfundet Teknik – ikke politik – ændrer samfundet Næste artikel Persondataforordning: Glem bøderne og juraen for en stund Persondataforordning: Glem bøderne og juraen for en stund
Radikale klar til dansk enegang på tech-skat

Radikale klar til dansk enegang på tech-skat

TECHSKAT: Finansordfører Sofie Carsten Nielsen siger, at Radikale støtter en dansk særskat på internationale techgiganter, hvis en fælles OECD-løsning bliver en "syltekrukke". Partiet vil dog ikke lægge sig fast på en bestemt model.