EU's revision af GDPR svækker både borgere og virksomheder

I den reviderede tekst finder man en række vage formuleringer som "reasonably likely," "not necessarily," "where appropriate," "merely because" og "in-depth processing." Med sådan et sprog bliver det langt vanskeligere at vurdere, hvad reglerne egentlig betyder. 

Når en lov er uklar, rammer det især tre grupper:

• Borgere, der mister overblik over, hvilke rettigheder de faktisk har.
• SMV’er, der ikke har en juridisk afdeling til at tolke sig frem til, hvad der er korrekt.
• Myndigheder, der skal føre kontrol på et usikkert juridisk grundlag.

Vi har set lignende problemer tidligere – eksempelvis inden for patenter, hvor vage undtagelser gør det muligt at omgå et forbud mod softwarepatenter. Der er ingen grund til at gentage den fejl i Europas vigtigste databeskyttelseslov.

Lovgivning bør stræbe efter klarhed og forudsigelighed. Revisionen gør flere steder det modsatte.

Et af de mest problematiske elementer i revisionen er, at virksomheder i endnu højere grad selv skal vurdere, om deres data er omfattet af GDPR eller ej, når det gælder kategorisering af data og brug af pseudonymisering.

Revideringen af GDPR burde styrke borgernes rettigheder, sikre teknologineutralitet og gøre hverdagen lettere for virksomheder og borgere. Desværre går forslaget flere steder den modsatte vej.

Nielsen Bertelsen

Det kan være en administrativ lettelse, men i praksis flytter man et afgørende juridisk spørgsmål fra myndighederne til dem, der har størst interesse i at udvide gråzonen.

Det er urealistisk at forvente, at borgere selv skal kunne gennemskue, om en virksomhed har "vurderet korrekt," og det er risikabelt at gøre virksomheder til dommere i deres egen sag.

Derfor vil jeg anbefale, at man gør det nemmere at kategorisere korrekt, og at tvivlsspørgsmål fortsat skal afgøres af datatilsyn eller domstole - ikke af private aktører.

Revisionen åbner for mere brug af pseudonymiserede data uden de samme krav som i dag. 

Problemet er, at teknologisk udvikling – særligt AI – gør det stadig lettere at genkende personer, selv når data er pseudonymiseret. 

Det er tidligere sket med blandt andet de offentliggjorte AOL-søgelogge, hvor brugere blev identificeret alene ud fra søgeord og mønstre.

Hvis EU nu samtidig gør det lettere at flytte pseudonymiserede data ud af EU, mens nøglerne til at re-identificere dem ligger uden for EU, skaber man et scenarie, hvor borgerne i praksis mister kontrol over deres data.

Beskyttelsesniveauet skal ikke sænkes på grund af teknologisk optimisme. Tværtimod bør reglerne tage højde for, at re-identifikation bliver nemmere, ikke sværere.

Et andet problematisk forslag i revisionen er en begrænsning af borgeres ret til indsigt i deres egne data.

I dag kan man som borger bede om at få en kopi af de oplysninger, en organisation har om én. Det er ofte det eneste værktøj, man har til at opdage forkerte oplysninger eller ulovlig behandling.

Revisionen lægger op til, at man kun skal have ret til indsigt, hvis det sker med et særligt "databeskyttelsesformål." Det underminerer grundideen om, at det er borgerens data, og at borgeren ikke skal forklare sig for at få lov til at se dem.

Revisionen fremstilles som en lettelse for SMV'er. Men uklare begreber og nye undtagelser skaber mere usikkerhed, ikke mindre.

Niels Bertelsen

Begrænses denne ret, kan det måske blive umuligt at få indsigt i ens sundhedsdata for at se, om der er stillet en forkert diagnose, idet det ikke vil være et databeskyttelsesformål.

At svække denne ret vil i praksis svække både retssikkerheden og forbrugertilliden.

Revisionen fremstilles som en lettelse for SMV'er. Men uklare begreber og nye undtagelser skaber mere usikkerhed, ikke mindre.

Hvis EU virkelig ønsker at gøre reglerne enklere for mindre virksomheder, kunne lettelserne knyttes til mængden og typen af data, ikke hvor stor virksomheden er. 

En frisør med 300 kunder udgør ikke samme datarisiko som et privathospital med 100 ansatte og millioner af sundhedsdata. Og en konservesfabrik med 100 ansatte udgør ikke samme datarisiko som en fempersoners startup, der analyserer millioner af folks politiske holdninger.

Derfor bør lempelser baseres på objektive kriterier om dataene, ikke virksomhedens størrelse – for eksempel virksomheder med under 1.000 registrerede borgere og ingen følsomme data. Det er operationelt, fair og til at forstå.

Et positivt element i revisionen er idéen om, at organisationer skal respektere borgernes privatlivsindstillinger – eksempelvis et "nej tak til tracking" i browseren.

Men forslaget undtager medieleverandører, og dermed falder pointen noget til jorden – idet disse jo ofte vil være dem, der tracker brugerne mest intenst. Hvis privatlivsbeskyttelse skal tages alvorligt, skal den gælde konsekvent.

Revideringen af GDPR burde styrke borgernes rettigheder, sikre teknologineutralitet og gøre hverdagen lettere for virksomheder, myndigheder og borgere. Desværre går forslaget flere steder den modsatte vej.

Derfor opfordrer jeg til:

• Udskift de uklare og elastiske begreber med begreber, som fortolkes ens i alle lande
• Lad ikke virksomhederne selv definere, om GDPR gælder for dem.
• Bevar borgernes fulde ret til indsigt i egne data.
• Skab simple og objektive regler for virksomheder med små datamængder.
• Gør respekt for privatlivsindstillinger obligatoriske for alle aktører uden undtagelser.

EU står over for et vigtigt valg: Skal GDPR udvikles til en stærkere og mere tidssvarende beskyttelse af borgerne – eller svækkes gennem uklarhed og undtagelser?

Hvis målet er et retssikkert og digitalt Europa, bør valget være klart.