Det er tid til at tæmme GDPR-monstret
GDPR er skabt med de bedste intentioner om at beskytte borgernes persondata i en stadig mere digitaliseret verden. Men tiden er kommet til at tage et opgør med den forkætrede persondataforordning og skabe en bedre balance for de virksomheder og organisationer, der skal efterleve den.
Vi skal selvfølgelig beskytte vores personlige oplysninger og data. Ikke mindst som digitale virksomheder er det helt naturligt, at vi holder datarettighederne højt og behandler data med stringens og omtanke.
Men her knapt syv år efter at persondataforordningen GDPR trådte i kraft, må vi konstatere, at vi har støbt en bureaukratisk cementblok og placeret den grundigt fastspændt til vores virksomheders fødder.
Realiteten er, at GDPR har udviklet sig til noget ganske andet end den oprindelige vision. Mens store virksomheder bruger enorme summer på at leve op til kravene, kæmper mindre digitale virksomheder og startups med at navigere i de komplekse krav. For mange af branchens virksomheder er det blevet en næsten uoverkommelig administrativ byrde, der dræner ressourcer fra innovation og forretningsudvikling.
Et grundlæggende problem er manglen på proportionalitet i reguleringen. Der skelnes ikke nok mellem data med høj og lav risiko. Der er i mine øjne stor forskel på, om du deler dine helbredsoplysninger eller køber en t-shirt på en webshop.
Skal en mindre e-handelsplatform virkelig behandle oplysningerne med samme sikkerhedsforanstaltninger som et offentligt system, der håndterer sundhedsdata? Det giver ganske enkelt ikke mening fra et forretningsmæssigt eller praktisk perspektiv.
Virksomheder, der kun behandler lavrisikooplysninger, bør fritages for omfattende krav til dokumentation og privatlivspolitik. SMV'er har brug for endnu mere luft. De kæmper i forvejen med begrænsede ressourcer og har ikke råd til en hær af compliance-medarbejdere. Lad os skrue helt ned for GDPR-byrden for SMV'erne, medmindre de behandler følsomme data med høj risiko.
En anden tendens, vi har set, er den uens håndhævelse på tværs af EU-medlemsstaterne. I Danmark har vi tradition for en grundig implementering og proaktiv efterlevelse af EU-regulering.
Andre steder i EU praktiseres en markant mere lempelig tilgang. Det skaber en konkurrenceforvridning, der rammer danske virksomheder særligt hårdt.
Beskyttelse af persondata er fundamental og en forudsætning for tillid til ikke mindst digitale virksomheder. Men vi må kunne tale om, hvordan vi i praksis beskytter de reelt personfølsomme data, uden at kvæle innovation og vækst.
GDPR er blot ét eksempel på en bredere tendens til overregulering fra EU's side gennem det seneste årti. Mens EU har fokuseret intenst på regulering, har USA og Kina givet deres tech-virksomheder større frihed til at eksperimentere og innovere. Vi kender konsekvensen - Europa sakker bagud i den globale tech-konkurrence.
Heldigvis ser det ud til, at politikerne nu begynder at lytte og tage affære. Digitaliseringsminister Caroline Stage varslede for et par uger siden et opgør med GDPR-reglerne og vil bringe kravet om at revidere GDPR op på rådsmøder under Danmarks EU-formandskab.
Det er meget positivt, og i DI Digital hjælper vi gerne med at finde den rette balance. Fornuftig regulering og konkurrencedygtige virksomheder er ikke modsætninger, men det kræver omtanke at ramme den balance, der gavner både borgere og erhvervsliv.
