DI: Databeskyttelse må ikke føre til dataforskrækkelse

DEBAT: Data skal beskyttes korrekt, etisk og ikke mindst lovligt. Men hvis de offentlige myndigheder fortsætter med at overimplementere EU's nye regler til databeskyttelse, så risikerer vi at blive et fattigere og mindre innovativt samfund, skriver Morten Rosted Vang.

Af Morten Rosted Vang
Chefkonsulent, DI Digital

Skal virksomheder til at begynde at tænke i ringbind og fysiske arkiver frem for digital datamanagement og digital forretningsudvikling?

Nej, lige så lidt som e-mail skal afløses af brevduer.

Nye krav til databeskyttelse må aldrig føre til, at vi bliver bange for at bruge den nye teknologi eller endnu værre: Skruer den teknologiske udvikling baglæns.

Hellere innovation end forskrækkelse
Det er vigtigt, at virksomheder og myndigheder gør en stor indsats for at behandle persondata korrekt, etisk og lovligt.

Men vi må for alt i verden ikke blive så dataforskrækkede over kravene i persondataforordningen, at vi overimplementerer eller ikke bruger data og digitalisering på effektive, innovative og værdiskabende måder.

I Dansk Industri har vi daglig kontakt med medlemsvirksomheder, der har brug for hjælp til implementering af persondataforordningen. Gennem værktøjer og viden på vores persondatasite, konferencer, netværk, roadshows rundt i landet samt dialog, vejleder vi vores medlemmer.

Vi har derfor fået et godt billede af udfordringerne for virksomhederne.

Offentlige myndigheder stiller unødige krav
Noget, som vi flere gange støder på i vores dialog med virksomheder, er tvivl om, hvorvidt der er brug for en databehandleraftale til at sikre overholdelse af persondataforordningens krav, når to virksomheder eller myndigheder samarbejder.

Ofte støder virksomhederne på krav om indgåelse af en databehandleraftale, selvom den service, der leveres, slet ikke har behandling af persondata som formål.

Det virker med andre ord som om, kravet om indgåelse af en databehandleraftale i flere tilfælde er en automatreaktion for at være på den sikre side, med truslen fra de store bøder hængende over hovedet.

Eksemplet med den ivrige brug af databehandleraftaler er et tegn på, at der nu sker en overimplementering af kravene i den kommende persondataforordning, og det er ikke en god udvikling.

Og det er ofte offentlige myndigheder, der stiller unødige krav om databehandleraftaler.

Usikker fremtid
Så hvis en virksomhed for eksempel leverer en ydelse til 87 kommuner, skal virksomheden i eksemplets tilfælde bruge væsentlige og unødige ressourcer på at administrere 87 databehandleraftaler - ressourcer, som hellere skulle være brugt på at skabe vækst.

Situationen er, at der er mange udfordringer og en stor uoverskuelighed for mange myndigheder og virksomheder på vejen mod at behandle persondata i fuld overensstemmelse med persondataforordningen.

Ved hver sten, der vendes i implementeringsarbejdet, opstår der nye spørgsmål.  

Samtidig er det ikke blot en ny virkelighed for virksomhederne efter 25. maj 2018 (når EU’s krav til databeskyttelse træder i kraft, red.). Det er også en ny situation for tilsynet, så praksis vil først blive etableret hen ad vejen – efter 25. maj.

Begge ting skaber usikkerhed, der kan føre til dataforskrækkelse i form af overimplementering eller tilbageholdenhed med at beskæftige sig med digitalisering og data. Og så har vi slet ikke været inde på risikoen for ændring af dansk praksis på grund af harmoniseringskrav på tværs af EU.

Straf ikke hårdere end nødvendigt
Derfor er det vigtigt med en pragmatisk sanktionstilgang det første lange stykke tid, hvor alle sanktionsmuligheder tages i brug – for eksempel hellere et påbud end en bøde i første omgang, når der som udgangspunkt handles i god tro fra virksomhedens eller myndighedens side.

Og så ligger der en vigtig opgave med at kommunikere det rette implementeringsniveau ud, som tilsynsmyndighederne bør stå i spidsen for.

Der skal være en balance mellem at leve op til persondataforordningens krav og at udnytte potentialet i ny anvendelse af data og digitalisering.

Budskabet skal være, at vi endelig ikke skal holde op med at behandle persondata, vi skal blot gøre det på den rigtige måde.

Forrige artikel IT-ekspert: Cybertruslen skal bekæmpes i fællesskab IT-ekspert: Cybertruslen skal bekæmpes i fællesskab Næste artikel Kim Escherich: Er vi nu også så digitale som vi troede? Og på den rigtige måde? Kim Escherich: Er vi nu også så digitale som vi troede? Og på den rigtige måde?
Ny temadebat: Øget overvågning i det offentlige rum

Ny temadebat: Øget overvågning i det offentlige rum

DEBAT: Regeringen har lanceret en sikkerhedspakke, der varsler mere overvågning i det offentlige rum. Men er det nødvendigt, og hvilke konsekvenser har det? Altinget Digital tager debatten de kommende uger. Mød panelet her.