PROSA lukker for henvendelser kl. 14 fredag den 20/12 og mandag den 23/12.

GDPR er uforholdsmæssigt kompliceret

GDPR er nødvendigt, men skaber unødvendige benspænd for borgere og virksomheder. Vi skal finde en løsning, der gør noget uforholdsmæssigt kompliceret ligetil, skriver Niels Bertelsen.

Dette debatindlæg blev først bragt i Altinget

Det var en sejr for borgerne og for beskyttelsen af personfølsomme oplysninger, da Danmark den 25. maj 2018 blev forpligtet til at indrette lovgivningen efter databeskyttelsesforordningen.

Tre år senere kan vi dog se, at loven har haft store økonomiske konsekvenser for virksomhederne, at loven er svær at efterleve, og at borgerne har svært ved at forstå, hvordan de selv kan sikre, at deres oplysninger er beskyttet.

GDPR er kort sagt svært at forstå for både borgere og virksomheder.

Skaber benspænd

Nogle af udfordringerne bliver beskrevet i Kommunernes Landsforenings eksempelkatalog over GDPR-benspænd.

Bør man have databehandleraftaler med Facebook og LinkedIn? Hvorfor skal hjemmehjælpere forsinkes af at skulle slå en adresse op i et fagsystem, i stedet for at have det liggende i sin kalender? Må skolen tage en kopi af børns pas ved skolerejser? Må en plejehjælpsbeboer have et navneskilt på døren?

Datatilsynet er generelt gode til at besvare de svære spørgsmål, og de har da også svaret på KL’s mange benspænd, men hver gang, der indgår personlige oplysninger, indgår der også benspænd, tvivlsspørgsmål og forskellige fortolkninger.

Der er behov for at se på nye løsningsmodeller til, hvordan virksomheder og borgere i samarbejde kan hjælpe hinanden videre med at gøre persondata mere sikkert.

I dag er det ikke altid lige nemt at indhente samtykke til brug af persondata, og den enkelte borger har ikke et centralt sted, hvor man kan se eller tilbagekalde alle de samtykker, man har givet gennem tiden.

Prosa har derfor gennem længere tid været fortaler for at indføre et system, der giver den enkelte mulighed for bedre at styre, hvem, hvad og hvornår, der gives samtykke til at bruge persondata.

Man kan forestille sig et scenario, hvor en person gerne vil give samtykke til, at éns sundhedsdata bruges til forskning i det offentlige, men ikke hos det private.

En kunde kan ønske at give samtykke til at få sine indkøbsmønstre registreret, så yndlingsbutikken kan komme med relevante tilbud, mens konkurrenten er lukket ude.

Eller som cookielovgivningen giver mulighed for i dag: At man vil tillade cookies, der bruges til statistik, men ikke til at målrette reklamer, med undtagelse af udvalgte websites.

I dag skal man give tilladelse til lagring af cookies for hver enkelt hjemmeside. Prosa så gerne, at samtykkesystemet blev indrettet sådan, at der automatisk var lukket for brug af persondata, medmindre den enkelte borger aktivt giver sit samtykke.

Man skal kunne se en liste over forespørgsler og kunne træffe et valg.

Vi bilder os ikke ind, at denne løsning er nem, men den vil gøre det mere overskueligt for borgeren. Det muliggør, at man kan se alle sine samtykker og nemt trække dem tilbage.

Ikke længere pengeskabe

Med den digitale fremgang er behandlingen af persondata kun blevet mere kompleks.

Dengang alting foregik på papir, kunne man have et skema med oplysninger gemt væk i et arkivskab, der tillige var gemt væk i et pengeskab.

Dengang faldt det næppe nogen ind at hente personoplysningerne i pengeskabet, tage en kopi af det og sende det videre med posten til 20-30 samarbejdspartnere.

I dag er situationen anderledes og mere kompleks.

Digitale problemstillinger kalder på digitale løsninger, og derfor bør man hurtigst muligt se på en løsning, inden de danske virksomheder skal lægge deres samlede overskud til konsulenter for at forstå og overholde regler, der egentlig burde være ganske enkle.

Behandler du persondata, skal du gøre det sikkert og ikke give oplysningerne videre til tredje part. Vi skal finde en løsning, der gør noget uforholdsmæssigt kompliceret ligetil.