Skal virksomheder til at begynde at tænke i ringbind og fysiske arkiver, fremfor digital datamanagement og digital forretningsudvikling?

Nej, lige så lidt som e-mail skal afløses af brevduer.

Nye krav til databeskyttelse må aldrig føre til, at vi bliver bange for at bruge den nye teknologi eller endnu værre: Skruer den teknologiske udvikling baglæns.

Det er vigtigt, at virksomheder og myndigheder gør en stor indsats for at behandle persondata korrekt, etisk og lovligt.

Men vi må for alt i verden ikke blive så dataforskrækkede over kravene i persondataforordningen, at vi overimplementerer, eller ikke bruger data og digitalisering på effektive, innovative og værdiskabende måder.

Godt billede af virksomhedernes udfordringer

I Dansk Industri har vi daglig kontakt med medlemsvirksomheder, der har brug for hjælp til implementering af persondataforordningen. Gennem værktøjer og viden på vores persondata-site, konferencer, netværk, roadshows rundt i landet samt dialog, vejleder vi vores medlemmer.

Vi har derfor fået et godt billede af udfordringerne for virksomhederne.

Noget, som vi flere gange støder på i vores dialog med virksomheder, er tvivl om, hvorvidt der er brug for en databehandleraftale til at sikre overholdelse af persondataforordningens krav, når to virksomheder eller myndigheder samarbejder.

Ofte støder virksomhederne på krav om indgåelse af en databehandleraftale, selvom den service, der leveres, slet ikke har behandling af persondata som formål.

Det virker med andre ord som om, kravet om indgåelse af en databehandleraftale i flere tilfælde er en automatreaktion for at være på den sikre side, med truslen fra de store bøder hængende over hovedet.

Er der en overimplementering på vej? 

Eksemplet med den ivrige brug af databehandleraftaler er et tegn på, at der nu sker en overimplementering af kravene i den kommende persondataforordning, og det er ikke en god udvikling.

Og det er ofte offentlige myndigheder, der stiller unødige krav om databehandleraftaler.

Så hvis en virksomhed f. eks. leverer en ydelse til 87 kommuner, skal virksomheden i eksemplets tilfælde bruge væsentlige og unødige ressourcer på at administrere 87 databehandleraftaler - ressourcer, som hellere skulle være brugt på at skabe vækst.

Situationen er, at der er mange udfordringer og en stor uoverskuelighed for mange myndigheder og virksomheder på vejen mod at behandle persondata i fuld overensstemmelse med persondataforordningen.

Ved hver sten, der vendes i implementeringsarbejdet, opstår der nye spørgsmål.

Samtidig er det ikke blot en ny virkelighed for virksomhederne efter den 25. maj 2018 [når EU’s krav til databeskyttelse træder i kraft, red.]. Det er også en ny situation for tilsynet, så praksis vil først blive etableret hen ad vejen – efter den 25. maj.

Begge ting skaber usikkerhed, der kan føre til dataforskrækkelse i form af overimplementering eller tilbageholdenhed med, at beskæftige sig med digitalisering og data. Og så har vi slet ikke været inde på risikoen for ændring af dansk praksis på grund af harmoniseringskrav på tværs af EU.

Hellere påbud end bøde

Derfor er det vigtigt med en pragmatisk sanktionstilgang det første lange stykke tid, hvor alle sanktionsmuligheder tages i brug – f. eks. hellere et påbud end en bøde i første omgang, når der som udgangspunkt handles i god tro fra virksomhedens eller myndighedens side.

Og så ligger der en vigtig opgave med at kommunikere det rette implementeringsniveau ud, som tilsynsmyndighederne bør stå i spidsen for.

Der skal være en balance mellem at leve op til persondataforordningens krav, og at udnytte potentialet i ny anvendelse af data og digitalisering.

Budskabet skal være, at vi endelig ikke skal holde op med at behandle persondata, vi skal blot gøre det på den rigtige måde.

Indlægget er også bragt på Altinget.dk