GDPR – suksess eller fiasko?

Politikkens begynnelse
20th mai 2019

I 2018 var det mange selskaper som stresset med GDPR, General Data Protection Regulation. For mange forbrukere var det sannsynligvis en mengde e-poster i tiden før juli 2018 som var det mest merkbare, og kanskje etter hvert bare irriterende…

Hva skjer nå et år senere?
Så langt er det delt ut noen få gebyrer under det nye regimet, for eksempel til kommunen i Bergen. Det er spesielt risikoen for høye gebyrer, eller «bøter» om du vil, som fikk mye oppmerksomhet helt fra starten.

Spørsmålet er om det virkelig har skjedd noe bak kulissene, eller om GDPR så langt har vært en fiasko uten noen konkret betydning for personvernet. Vi kan nesten forutsette at alle e-poster om samtykke og så videre som ble sendt i 2018 ikke ble lest.

Som bakgrunn må vi gå tilbake til det som er hovedtanken i GDPR, som er at behandling av personopplysninger skal foregå på en åpen og rettferdig måte. Det er ikke vanskeligere enn det, noen ganger er virkelig det enkle det beste, nesten som fornuftige sko fra Ecco.

Har selskaper tilpasset sine prosesser?
Det hjelper lite å publisere flott personvernerklæringer, sende ut e-poster om samtykke eller gi ansatte grunnleggende opplæring, hvis prosesser i bunn ikke er tilpasset prinsippene om å behandle personopplysninger på en åpen og rettferdig måte.

Et svært banalt eksempel kan være et taxiselskap i Danmark som nylig fikk et gebyr. Dette selskapet anonymiserte navn på kunder etter en tid, men de beholdt telefonnummeret til kunden fordi det var den unike nøkkelen i selskapets database. Dette er et godt eksempel på at et selskap har beholdt sin gamle måte å arbeide på, uten å gjøre noen innsats for å virkelig endre prosessen i bunn. Det riktige i dette eksemplet hadde vært å bygge om databasen slik at den benyttet en helt anonym unik nøkkel.

Dessverre er det sannsynligvis slik at det fortsatt er mange selskaper som holder på sine gamle prosesser, og prøver å tilpasse sin tolkning av GDPR-regelverket til disse prosessene. Det kan være enten i form av interne analyser, men i noen tilfeller også ved å prøve å forklare behandlingen til kunder på en måte som kanskje ikke alltid er helt sannferdig.

Hvordan kan GDPR bli en suksess?
Myndighetene i ulike europeiske land har enn så lenge bare skrapet på overflaten av mulighetene som kommer med GDPR-lovgivningen. Sikkerhet, passord og unødvendig lagring av data er de relativt enkle områdene, som tilsynsmyndighetene gjør helt rett i å begynne med.

Samtidig finnes det et håp om at vi vil se flere saker fremover der Datatilsynet, og tilsvarende myndigheter i andre land, virkelig vil gå store selskapers prosesser etter sømmene. Det er da GDPR virkelig blir spennende, og vi vil kunne se håndfaste forbedringer for oss forbrukere.