Torsdag denne uken er det fem år siden EUs personvernforordning, General Data Protection Regulation (GDPR), ble innført og etablerte et felles personvernregelverk i EØS. Fra å være et område for spesielt interesserte, satte GDPR personvern på agendaen på alle nivåer i næringslivet.
GDPR innførte strenge regler for behandling av personopplysninger og et sanksjonsnivå på opptil 20 millioner euro eller fire prosent av konsernets globale omsetning ved regelbrudd.
Denne uken ble Meta – Facebooks eier – ilagt et gebyr på cirka 14 milliarder kroner i Irland. I Norge har Datatilsynet ilagt gebyrer på opptil 65 millioner kroner.
GDPR slår fast at personvern er en fundamental rettighet. Virksomheter med data om sine kunder, ansatte og andre forvalter derfor et betydelig ansvar. Min erfaring er at virksomhetene tar sitt ansvar på alvor. Personvernressurser er ansatt, dokumenter er utarbeidet og prosesser er innført.
Personvern er vanskelig å måle. Et godt personvern bidrar til maktbalanse mellom offentlig og privat virksomhet og enkeltindivider og er en forutsetning for et tillitsbasert og velfungerende samfunn. GDPR har skapt større bevissthet om skrankene for hvilke data virksomheter kan samle inn og bruke. Dessuten har GDPR bidratt til mer transparens, ved å pålegge virksomheter å være åpne om hvordan de bruker data, og ved å styrke individers innsyn i sine data.
Det er neppe tvil om at personvernet gjennomgående er bedre nå enn for fem år siden.
Men et godt personvern kommer ikke uten kostnad. En åpenbar kostnad er de tusenvis av årsverk som går med i bestrebelsen etter å følge reglene. Noe av dette arbeidet representerer nok et «skinn»-personvern, slik som uforholdsmessige vurderinger knyttet til trivielle data og kvasi-evalueringer av systemleverandører i andre land.
Fremover bør oppgaver som gir personverngevinst, prioriteres. Mer samordnede vurderinger av tjenester alle bruker, for eksempel Microsoft og Google, gjerne i samråd med tilsynsmyndighetene, ville dessuten vært effektivt.
En mindre synlig kostnad er at hensynet til personvern kan gå på bekostning av andre samfunnsinteresser. Personvernet står ikke sjeldent i et motsetningsforhold til andre hensyn, som innovasjon, forskning, helse, kriminalitetsbekjempelse og effektiv saksbehandling.
Personvernet må derfor oftere inngå i bredere helhetsvurderinger, ikke vurderes isolert.
Rollen Datatilsynet utøver, kan ikke undervurderes. Via GDPR gis Datatilsynet myndighet til slå ned på aktiviteter på tvers av sektorer, enten det er skole, sykehus, politi, medier eller bankvirksomhet. Dette kan i praksis gi GDPR rang over annet regelverk selv om dette ikke er tiltenkt.
Det er derfor positivt at Datatilsynet ser ut til å være på vei bort fra en restriktiv linje, til en mer pragmatisk tilnærming hvor man anerkjenner at virksomheter ikke kan bli feilfrie, uansett hvor mye arbeid som legges ned i å etterleve GDPR.
GDPR bygger på en grunnleggende tro på individers ivaretagelse av eget personvern. Men de fleste har hverken interesse av eller forutsetninger for å sette seg inn i hva dette innebærer. Samtykketrøttheten gjør at mange velger «I accept» uten å være klar over hva man samtykker til. Dette gir dårlige brukeropplevelser, uten nødvendigvis å styrke personvernet.
Dette kan useriøse aktører et stykke på vei utnytte ved å «gjemme» seg bak slike samtykker, mens seriøse aktører risikerer å tape kampen om data. Regelverket burde i stedet premiere virksomheter som tar ansvarlige valg for sine kunder og brukere.
Innføringen av GDPR har åpenbart vært til gagn for personvernet, men vi må også erkjenne at det har vært til besvær.
Med stadig høyere digitaliseringstakt, og ikke minst fremveksten av kunstig intelligens, bør myndigheter og virksomheter fremover orientere seg bort fra den formalismen som har satt sitt preg på de fem siste årene, og tilstrebe et mer praktisk gjennomførbart personvern der det virkelig er viktig.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.