EU’s regler for håndtering af personoplysninger (GDPR) er vokset til en af erhvervslivets største sten i skoen, når det kommer til administrative byrder. Det viser DI’s analyser og rundspørger blandt medlemsvirksomhederne.

Rådgiverne hos Signifly er en af de virksomheder, der mærker udfordringerne. Signifly hjælper sine kunder med digitale projekter, hvor kravene om dokumentation i mange tilfælde tager overhånd, fortæller stifter og adm. direktør Michael Valentin. 

- Grundlæggende er det jo frustrerende, at vi og vores kunder bruger tid og ressourcer på noget, som overhovedet ikke skaber værdi. Vores kunder føler sig forpligtet til at lave omfattende dokumentation af helt enkle processer, hvor der ikke er tale om følsomme personoplysninger eller store datasæt, men f.eks. blot at nogle hundrede kunder frivilligt deler deres navn, arbejdsmailadresse og telefonnummer for at tilmelde sig en konference, siger han og fortsætter:

- GDPR-kravene gør selv enkle digitale tiltag langsomme og besværlige, fordi vi grundlæggende har en meget bred definition af, hvad persondata er. Det stiller store krav til dokumentation og truer med astronomiske bøder. Det koster tid og penge, som kunne være brugt bedre på andre ting.

Jurister ind over banale løsninger

Nærmest alle digitale projekter bliver anset for risikofyldte mht. GDPR, og så skal juristerne på sagen, selvom at det drejer sig om noget helt banalt.

- Processen med juristerne trækker på fageksperterne og os som rådgivere, og før vi er færdige er der spildt mange arbejdstimer på det bureaukrati uden nogen reel værdi skabt, siger Michael Valentin.

Det handler ikke om, at kravene ved  behandling af følsomme personoplysninger skal slækkes. Men derimod om at afgrænse behovet til de områder, der er mere kritiske. Er der eksempelvis tale om sundhedsdata er det helt rimeligt at der er strenge krav til både praksis og dokumentation, forklarer Michael Valentin.

- Målet bør være at begrænse GDPR-kravene til de områder, hvor der er tale om meget store sæt af data samt ved de følsomme personlysninger. Før GDPR havde vi jo allerede en udmærket beskyttelse af almindelige typer af data i vores danske lovgivning – uden at der var det omfattende krav til dokumentation, siger Michael Valentin, der også er leder af DI’s SMV-udvalg.

Koster milliarder hvert år

Signifly er langt fra alene om at opleve bøvlet med GDPR-kravene. Knapt to-tredjedel af danske virksomheder oplever GDPR som en byrde, der ifølge DI’s egne analyser årligt koster mellem 5 og 11 mia. kr. hvert år i ekstra udgifter.  DI’s fagchef for små og mellemstore virksomheder Sine Linderstrøm hører om tilsvarende erfaringer fra mange virksomheder, hvor GDPR-kravene har taget overhånd.

- Virksomheder der håndterer almindelige kundeoplysninger med lav risiko skal stadig udarbejde privatlivspolitik, slettepolitik, fortegnelse, TIA og risikovurderinger. Det resulterer i dokumentation, der udelukkende eksisterer til brug ved datatilsyn, og er helt ude af proportioner med den egentlige risiko forbundet med databehandlingen, siger hun.

Bøvlet med GDPR er kun overgået af indberetninger til offentlige myndigheder og kravet om arbejdstidsregistrering, når virksomheder bliver spurgt om, hvilke administrative opgaver, der kræver flest ressourcer at håndtere.

- Det kommer særligt fra, at det kræver mange ressourcer at orientere sig i lovgivningen og opbygge de nødvendige systemer til at overholde den fra A til Z, forklarer Sine Linderstrøm. 

Regelforenkling er en af den danske regerings topprioriteter under det næste halve års EU-formandskab. Her har DI netop offentliggjort en af de mest omfattende undersøgelse af, hvilke forenklinger der vil skabe størst værdi og gavne konkurrenceevnen.

Værsgo: Den mest detaljerede kortlægning af regelvanvid

Advarer mod overimplementering

Signiflys Michael Valentin anbefaler desuden en mere smidig dansk implementering af EU’s regler. For med vores traditionelle ambition om at være blandt de bedste og hurtigste på det punkt, udfordrer det også dansk erhvervslivs konkurrenceevne, når andre lande er knapt så offensive.

- Det er al ære værd, at vi gerne vil holde en høj standard. Men lige på dette område oplever jeg desværre, at implementeringen langt er løbet fra den oprindelige intention med lovgivningen, siger han.

Signiflys stifter bemærker desuden, at mange virksomheder er forsigtige med at lufte deres utilfredshed med GDPR offentligt af frygt for negativ omtale og evt. yderligere opmærksomhed fra myndighederne.

- Det er faktisk lidt tabu at drøfte det i den offentlige debat, fordi det hurtigt kan blive udlagt som om, man ikke er interesseret i at beskytte borgernes rettigheder og ret til privatliv. Men det er jo ikke tilfældet. Det handler jo reelt kun om, at reglerne skal skæres til med færre krav om dokumentation og fokus på de områder, som er relevante, så vi undgår at spilde kræfterne på noget arbejde, som hverken virksomheder eller samfundet får værdi af, pointerer Michael Valentin.

Læs også: Danske virksomheders bøvl bliver hørt i hjertet af EU