25052018: Persondataforordningen

I morgen, fredag den 25. maj 2018, træder Persondataforordningen i kraft.
Forordningen forkortes i daglig tale som GDPR (General Data Protection Regulation), og en søgning på Google efter “GDPR” giver over 37 millioner hits.
Efter den syndflod af opmærksomhed, der er blevet øst ud over denne EU-forordning, er der lagt op til et uundgåeligt antiklimaks.

På DR’s hjemmeside kører der som optakt til forordningens ikrafttræden en historie om, at små familievirksomheder inden for rengøring og andre fag “fra på fredag” risikerer millionbøder, hvis de skulle have et ringbind stående på reolen med lister over tidligere kunder og ansatte.
I Financial Times kunne man for nylig læse, at Facebook har accepteret at indføre GDPR-bestemmelserne i hele verden, “som en betingelse for at få lov til at blive ved med at operere i EU-landene”.

Begge historier er helt ude i hampen, men de er repræsentative for BS-faktoren i store dele af den massive pressedækning om GDPR.
Virkeligheden er mere afdæmpet.

Forordningen ændrer stort set intet for de virksomheder, der indtil nu har overholdt den datalovgivning, der har været gældende siden 1995, og de nationale datamyndigheder har åbent forklaret, at der selvfølgelig ikke er optræk til nogen jagt på støvede ringbind i små rengøringsvirksomheder, eller noget der ligner.

For en ganske lille gruppe af meget store virksomheder, der opererer i EU, betyder forordningen, at der nu bliver stillet mere præcise krav til håndteringen af persondata, og disse virksomheder skal fremover føre regnskab med deres håndtering af EU-borgeres persondata.

”Det er ikke fordi, vi nu vil ud og give bøder til højre og venstre. Generelt ønsker vi en pragmatisk tilgang til databeskyttelse. Det væsentlige er, at virksomhederne bliver bedre til at håndtere opgaven. (…) I vores optik er det mere effektivt at indgå i fornuftig dialog med virksomhederne, end at de skal betale en bøde, som de måske ikke lærer noget af.”
Sikkerhedsspecialist i Datatilsynet, Allan Frank, til DI Business, April 2018

Det fremgår ikke klart af forordningen, hvad der præcist skal indgå i regnskabet, hvem der vil kontrollere det, eller om regnskabet overhovedet vil blive kontrolleret. Men store virksomheder i denne kategori vil kunne få en bøde for ikke at have udarbejdet regnskabet efter bedste evne.

Gruppen af meget store virksomheder i EU har inden for de sidste ti år tilsammen mistet følsomme persondata om millioner af deres kunder til hackere, der efterfølgende har solgt de stjålne data på den sorte børs. Her er de stjålne persondata blevet brugt til forskellige former for svindel, og det er derfor ikke for tidligt, at der bliver indført en regulering på området, der kan medvirke til, at store virksomheder håndterer kundernes persondata på en professionel måde.

Borgernes rettigheder over deres persondata styrkes med forordningen på nogle områder, men bliver svækket på andre.

Det bliver lettere for en borger at få indblik i, hvilke persondata en virksomhed har indsamlet om vedkommende, og vilkårene for private virksomheders indsamling og anvendelse af persondata bliver skærpet.

Men inden for den offentlige sektor går det den modsatte vej.

Den danske regering har ved udarbejdelsen af den nationale følgelovgivning til GDPR benyttet lejligheden til at udvide de offentlige myndigheders ret til at sammenkøre offentlige registre uden at orientere borgerne om samkøringen. Regeringen har også benyttet lejligheden til – i en bemærkning til et lovforslag – at få lempet ind, at staten kan indsamle og analysere borgernes genetiske data uden så meget som at orientere borgerne om det.

Mens Facebook på det seneste har påkaldt sig stor opmærksomhed for et (groft) sløseri med brugerdata, der ligger fire år tilbage i tiden, og som Facebook stoppede i 2015 (og som har været detaljeret rapporteret i den internationale presse siden 2016), så er statsmagtens aktuelle ekspropriation af borgernes mest intime persondata, nemlig genetiske data, druknet i den daglige nyhedsstrøm uden nogen videre opmærksomhed.

Nødvendig opdatering

Persondataforordningen er en forbedring i forhold til det Persondatadirektiv fra 1995, som forordningen afløser.

Indtil i morgen, fredag den 25. maj 2018, hvor forordningen træder i kraft, har EU-landenes persondatalovgivning været baseret på et direktiv fra 1995, der er udarbejdet før internettet blev udbredt i EU-landene, og der har derfor været et påtrængende behov for en modernisering af lovgivningen.

Den nye forordning, der afløser det eksisterende direktiv, er imidlertid udarbejdet på et tidspunkt, hvor den digitale økonomi kun var i sin vorden, og hvor kunstig intelligens var noget, som seriøse mennesker ikke tog alvorligt.

Når forordningen nu træder i kraft, skal den regulere en digital verden, der ser radikalt anderledes ud, end da forordningen gennem en årelang proces blev forhandlet på plads i EU-institutionerne.

Et af de afgørende kompromisser, der i sidste ende fik forordningen vedtaget, var, at små og mellemstore virksomheder samt hele den offentlige sektor er undtaget fra store dele af forordningen.

De mindre virksomheder vil blive reguleret inden for rammerne af forordningen, men de er undtaget for mange af de nye bestemmelser. Virksomheder i denne kategori, der udgør over 90 procent af alle virksomheder i EU, og som indtil nu har håndteret persondata nogenlunde efter de hidtil gældende regler, behøver derfor ikke at foretage sig noget.

I den offentlige sektor vil reguleringen derimod være baseret på ny national lovgivning, der giver de enkelte EU-lande betydeligt råderum til selv at fastlægge reglerne.

Forordningen foreskiver nogle generelle retningslinjer, der vil kunne bidrage til en kvalificering af den almindelige omgang med persondata i den offentlige sektor, og Datatilsynets og Rigsrevisionens rapporter om groft sløseri med persondata på alle niveauer i den offentlige sektor har igennem de seneste år dokumenteret, at der er behov for en professionalisering på dette felt.

Men generelt vil den offentlige sektors data blive reguleret efter national lovgivning, og ingen af de rettigheder, som forordningen giver borgerne, når det gælder private virksomheders brug af persondata, vil være til rådighed, når det gælder sundhedsdata, samkøring af offentlige registre og offentlige myndigheders indsamling af detaljerede persondata.

EU’s medlemslande vil hver for sig udarbejde national lovgivning på disse områder, og borgerne har derfor ingen mulighed for at vide, hvordan deres persondata vil blive behandlet i statsligt regi, hvordan data vil kunne blive udvekslet mellem myndigheder i forskellige medlemslande, hvilke personfølsomme data, som offentlige myndigheder indsamler eller til hvilket formål, og borgerne vil lede forgæves i forordningen efter rettigheder til at få oplyst disse væsentlige forhold.

Et irritationsmoment

Opdatering af det forældede persondatadirektiv fra 1995 er også et vigtigt element i EU’s handelspolitiske strategi over for omverdenen.
I det perspektiv er forordningen et vigtigt politisk træk, der er med til at positionere EU på det globale marked.
EU er verdens største sammenhængende marked målt på omsætning, og Persondataforordningen skal overholdes af alle virksomheder, der vil sælge deres ydelser direkte til forbrugere i EU-landene.
Forordningen får dermed en afsmittende virkning, og især mindre lande udenfor EU orienterer ofte deres lovgivning om persondata efter de linjer, som EU stikker ud.

Men denne såkaldte “Bruxelles-effekt” bør ikke overvurderes.

”Vi har til hensigt at gøre alle de samme kontroller og indstillinger tilgængelige overalt, ikke kun i Europa. Skal det være det samme format? Sikkert ikke. Vi skal finde ud af, hvad der giver mening på forskellige markeder med forskellige love og på forskellige steder. Men lad mig gentage: Vi vil gøre alle de samme kontroller og indstillinger tilgængelige overalt, ikke kun i Europa.”
Mark Zuckerberg, Pressemøde, 04-04-2018 (Gizmodo)

Da det amerikanske Udenrigspolitiske Selskab sidste år holdt en workshop om datas rolle i den internationale handel, var flere af de medvirkende politikere, embedsmænd og forretningsfolk som udgangspunkt ret kritiske over for de nye bureaukratiske rammer, som GDPR opstiller for amerikanske virksomheder.

Men konklusionen på drøftelserne blev, at når man så nærmere på forordningen, så måtte GDPR betegnes – ikke som en trussel mod amerikanske virksomheders interesser, men højst som et irritationsmoment.

De store amerikanske tech-virksomheder som Amazon, Facebook, Microsoft og Google, har efterfølgende hver for sig haft en mindre hær af jurister til at granske forordningen, og den samlede vurdering er herefter, at GDPR faktisk repræsenterer en styrkelse af de amerikanske tech-giganters konkurrencekraft på det europæiske marked.

Tech-giganterne er derfor på det seneste blevet varme fortalere for GDPR, og de roser de europæiske politikere for deres fremsynethed og globale førerskab i beskyttelsen af persondata.

Facebook og de andre tech-giganter kan fortsætte med at operere i Europa på stort set uændrede vilkår, og de justeringer, som GDPR pålægger dem med hensyn til håndtering af persondata, medvirker til at give virksomhederne et mere moderne og opdateret image, der også er faldet i god jord i USA og andre steder i verden.
Både Facebook og Microsoft har derfor af egen drift talt om, at de opdateringer af persondatahåndteringen, der nu gennemføres i Europa på grund af GDPR, også gradvist vil blive udbredt til andre lande.

Samtidig med, at de amerikanske tech-giganters juridiske analysearbejde har vist, at GDPR i høj grad er til at leve med på det praktiske plan, så har analyserne også afdækket, at GDPR er en ekstremt kompliceret regulering, hvor centrale elementer ligger vidt åbne for fortolkning, og hvor der eksisterer et virvar af nationale og fælles EU-regler og kontrolmyndigheder.

Virksomheder, der ikke har råd til at ansætte et hold af erfarne jurister til at udrede hele denne komplekse regulering, vil derfor få vanskeligt ved at operere inden for GDPR.
Men for de store amerikanske tech-virksomheder er det en omkostning, der er uden praktisk betydning.

Persondataforordningen medfører alt i alt en drastisk forøgelse af omkostningerne for tech-virksomheder, der vil operere med persondata på det europæiske marked, og GDPR gør det på den måde sværere for startups og mindre virksomheder at udfordre de dominerende tech-virksomheder.

GDPR vil derfor medvirke til at begrænse konkurrencen på markedet til fordel for de virksomheder, der allerede er store, og som kan bære omkostningerne til at håndtere forordningens juridiske og administrative kompleksitet.

Forordningen vil derfor medvirke til at cementere den indflydelse, som de store tech-virksomheder allerede har opbygget i inden for EU, og som giver sig konkret udtryk i, at over halvdelen af den digitale økonomi i EU-landene allerede i dag kontrolleres af en lille gruppe amerikanske virksomheder.

24052018-03
Facebooks omsætning i Europa fra Q1 2010 til Q1 2018 (Statistica)

Barrierer for produktudvikling

De europæiske virksomheders konkurrencevilkår svækkes yderligere af forordningens krav til håndtering af borgernes persondata, fordi reglerne gør det langt vanskeligere for europæiske virksomheder at udvikle nye digitale løsninger, end det er for virksomheder i Kina eller USA.

Det skyldes, at forordningen medfører begrænsninger for anvendelsen af vigtige digitale teknologier som kunstig intelligens og blockchain til produktudvikling inden for EU.

Kunstig intelligens og blockchain kommer på tværs af to grundlæggende principper i forordningen, nemlig, at anvendelsen af persondata skal have et veldefineret og afgrænset formål, samt at virksomheder skal kunne slette indsamlede persondata.

Men i mange tilfælde kan løsninger, der anvender kunstig intelligens af tekniske grunde ikke opfylde kravet om et veldefineret og afgrænset formål, og når det gælder blockchain, så er en af de grundlæggende træk ved teknologien, at data, der først er kommet ind på en blockchain, ikke efterfølgende kan slettes. (For en oversigt over GDPR og kunstig intelligens se Pejlinger fra den 12-06-2017)

Kunstig intelligens og blockchain kan i mange forskellige varianter være nøgleteknologier for udviklingen af den digitale økonomi, og de begrænsninger som forordningen opstiller for anvendelsen af disse teknologier til produktudvikling i Europa, vil uundgåeligt udgøre et væsentligt handicap for europæiske virksomheder inden for et af de vigtigste vækstområder i den globale økonomi.

For borgerne betyder forordningens begrænsninger for anvendelse af kunstig intelligens, m.v., at der kan komme færre nye digitale løsninger på markedet i EU end på de store markeder i Kina og USA. Det vil påvirke de europæiske borgeres adgang til nye produkter inden for et bredt felt af digitale løsninger, der spænder fra en ny generation af digitale sundhedsydelser og nye finansielle løsninger til anvendelsen af digitale assistenter og automatisering i hjemmet.

Forordningen indeholder ikke nogen hensigt om at begrænse anvendelsen af kunstig intelligens eller blockchain på EU-markedet, men det er blevet en utilsigtet konsekvens, fordi karakteren af disse teknologier ikke var kendt i de år, hvor forordningen var under udarbejdelse.

Nu fanger bordet, fordi en EU-forordning ikke uden videre kan justeres med et ændringsforslag. Enhver justering i forordningen vil kunne indebære årelange politiske forhandlinger.

Den mest sandsynlige udvej af miseren er, at forordningen forholdsvis hurtigt vil blive gemt væk, og vil komme til at indgå i rækken af EU-reguleringer, der aldrig har fået nogen videre praktisk effekt fordi, reguleringen på væsentlige områder har vist sig at være ude af trit med den praktiske virkelighed og/eller de politiske realiteter.

Forordningen vil kunne blive taget frem, når det er opportunt i en handelspolitisk sammenhæng eller, når der er brug for at kunne holde den moralske fane højt i den internationale debat om om beskyttelse af persondata.

Forhåbentlig vil de elementer af forordningen, der pålægger store virksomheder at behandle persondata på en forsvarlig måde, kunne overleve i den virkelige verden.

Men de begrænsninger, som forordningen indebærer for anvendelse af kunstig intelligens, blockchain og lignende teknologier til produktudvikling af nye digitale løsninger inden for sundhedssektoren, i den finansielle sektor, inden for uddannelsesområdet, i energisektoren og i flere andre sektorer, vil ikke være holdbare for den europæiske økonomi.

Kontrolmyndighederne kan derfor forventes at holde kikkerten for det blinde øje inden for hele dette felt, med det resultat, at hele håndteringen af persondata inden for væsentlige områder af den fremvoksende digitale økonomi i Europa vil kunne komme til at befinde sig i et retsligt limbo, hvor det meste er forbudt, men hvor næsten intet bliver kontrolleret.

GDPR vil på den måde kunne forplumre investeringsklimaet for digital udvikling og omstilling med store, negative konsekvenser for EU-landenes økonomi.

Kontrolmyndigheder under pres

Hen over sommeren vil pressens interesse for GDPR kunne forventes fortsat at være tæt knyttet til Facebook, og derfor vil datatilsynet i Irland, hvor Facebook har sit europæiske hovedkontor, også kunne forventes at komme i fokus.

Flere af de store amerikanske tech-virksomheder er ligesom Facebook registreret hos datamyndighederne i Irland, der herefter har det overordende ansvar for overvågningen af virksomhedernes overholdelse af forordningen.

24052018-02
Helen Dixon, Irlands Data Protection Commissioner, indtager en af EU’s mest magtfulde positioner i forvaltningen af GDPR. Financial Times, 08-03-2018

Det bliver noget af en opgave for datatilsynet i Irland, der nu i praksis skal håndtere alle de GDPR-juridiske aspekter for en række amerikanske tech-giganters operationer på hele EU-markedet. Det vil skulle ske ved siden af tilsynets almindelige arbejde med at føre kontrol med de irske virksomheders håndtering af den gældende datalovgivning.

Lederen af det irske datatilsyn, Helen Dixon, går fortrøstningsfuld til opgaven, og siger til Financial Times, at hun er klar til at håndhæve forordningen med sin nyligt oprustede stab, der nu tæller 100 ansatte.

Det er dobbelt så mange, som Datatilsynet i Danmark har fået budget til.


Introfoto: Tim Gouw on Unsplash

Henvisninger og baggrund: 24.05.2018