Alle skal forholde sig til fejl
Flyver vi en tur op i helikopteren og tager det store vidvinkel-overblik på, så bliver EU’s kommende regler om datasikkerhed en stor forbedring for privatlivets fred. Fakta er, at privacy og datasikkerhed er blevet et større og større problem i takt med, at IT er rykket ind overalt i vores liv – og de IT-kriminelle er blevet voldsomt dygtigere og meget mere ihærdige.
EU’s forordning om persondata rammer Danmark i 2018 og erstatter den danske persondatalov. EU’s forordning er en radikalt anderledes måde at tænke beskyttelse af persondata på – og skal i modsætning til et EU-direktiv ikke godkendes af medlemslandene. Forordningen får umiddelbart retsvirkning i Danmark samtidig med de andre EU-lande.
Selv om det stadig er meget usikkert, hvordan reglerne kommer til virke i praksis, er juristerne enige om, at de bliver et helt nyt paradigme. Både for forbrugere, virksomheder og medarbejdere.
”Vi kommer alle til at forholde os til risiko og fejl. Ansvaret for data om personer går fra at blive noget, der hører til i virksomhedens juridiske afdeling til at høre til alle steder. Alle medarbejdere skal have en forståelse af risici. Det er helt nyt, og det bliver en gamechanger,” siger advokat og partner i advokatfirmaet Gorrissen Federspiel, Tue Goldschmieding.
Risiko for Sortepers-kultur
Digitaliseringen har vendt op og ned på alting, siden Danmark i 2000 implementerede det EU-direktiv, der gælder i dag. Persondata er ikke længere noget, der tilhører myndigheder og store virksomheder – alle deler billeder, dokumenter og personlige informationer om sig selv og andre. Databrud, fejl og IT-kriminalitet er derfor også blevet noget, som vi alle er nødt til at forholde os til.
Når ansvaret flytter ud på samtlige medarbejdere, så kan man nemt forestille sig, at medarbejderne bliver ”bange” for at gøre fejl og viger tilbage for at gøre det, som de er ansat til.
”Fejl vil ske – både medarbejderfejl og trusler udefra. Der vil altid være nogen efter os i den digitale verden. Men løbet er ikke kørt, der skal regler og viden til. Der er et kæmpe potentiale i at forhøje forbrugernes viden om privacy og sikkerhed,” siger jurist i Forbrugerrådet Anette Høyrup.
”Der kan opstå sådan en Sortepers-kultur omkring det. Du kan sige, at der kommer en nulfejlskultur. Der er ikke noget, der er nemmere indenfor persondataretten end at sige nej – og det lukker jo for aktivitet og forretninger,” siger Tue Goldschmieding.
Kæmpebøder på vej
Hvis virksomheder – små som store – ikke overholder de nye EU-regler, så vanker der bøder i en helt anden størrelsesorden, end vi har set før. Der er lagt op til million- måske ligefrem milliardbøder ved fejl og databrud. Den slags bøder, som vi ellers kun kender fra overtrædelser af konkurrencelovgivning og indenfor bank- og medicinalverdenen.
”I dag er det de færreste virksomheder, der fortæller om deres databrud. Det bliver anderledes. Hvis du ikke rapporterer om et databrud, så eksponerer du virksomheden for de ustyrlige bøder. Nu bliver virksomheden for alvor erstatningsansvarlig overfor kunderne,” forklarer Tue Goldscmieding.
Gift for iværksættere
Mindre virksomheder og iværksætterne risikerer at komme i klemme på grund af bureaukrati og øgede omkostninger.
”For iværksættere er det her gift. Regelsættet er svært at forstå, og der er udsigt til gigabøder. Store virksomheder vil se det som en konkurrencefordel, og de har muskler til at klare det. De små vil uforvarende eller af mangel på ressourcer lave fejl,” siger serie-iværksætter Martin Thorborg.
Som eksempel nævner han, at Matas allerede har fire mand ansat til at finde ud af, hvordan kæden kan få de kommende EU-regler til at harmonere med deres loyalitets- og fordelsprogram.
”Det er ikke til at forudse, hvad der kommer til at ske, og der er kun en til at betale for det her – det er forbrugeren. Nogle af de små webshops kommer til at dreje nøglen om, det er sikkert. Mange af dem kører i forvejen med røven i vandskorpen,” siger Martin Thorborg.
For iværksættere er det her gift. Regelsættet er svært at forstå, og der er udsigt til gigabøder. Store virksomheder vil se det som en konkurrencefordel, og de har muskler til at klare det. De små vil uforvarende eller af mangel på ressourcer lave fejl.
Serie-iværksætter Martin Thorborg.
Praksis er svær at spå om
Anette Høyrup fra Forbrugerrådet oplyser, at der på nuværende tidspunkt har været 4.000 ændringsforslag til det kommende datadirektiv til behandling. Det bekymrer Martin Thorborg.
”Du kan ikke ringe til nogle kloge og få en forklaring på, hvordan det her skal laves. Reglerne er håbløse og tåbelige, så der kommer nogle tilretninger efter nogle år – og med tiden kommer der forhåbentlig noget best practice, som er til at forstå og overholde,” siger Martin Thorborg.
Advokat Tue Goldschmieding er enig med Thorborg: Konsekvenserne af direktivet afhænger fuldstændigt af, hvordan reglerne bliver udmøntet i praksis.
”På nuværende tidspunkt er der ikke mange ledetråde – der er ingen konkret vejledning,” siger han.
Fremtidssikker forordning
Det er ikke kun, fordi 28 lande skal blive enige, at EU’s persondataforordning er svært at gennemskue. Forordningen er også skrevet teknologi-agnostisk – altså uafhængig af konkret teknologi, ellers risikerer vi, at reglerne hurtigt overhales af udviklingen.
Omvendt vil udviklingen også hjælpe, når først loven er trådt i kraft. Der vil formentlig gro nye tjenester frem, der kan hjælpe virksomheder og medarbejdere til at overholde forordningen.
”Jeg tror, der kommer nogle systemer, der kan automatisere, at man for eksempel bliver slettet. Ligesom de robotter, vi har i dag, der sletter post i indbakker. Det bliver ny forretning at skabe den slags tjenester. Der bliver flere og flere bevidste digitale forbrugere, der ønsker at være anonyme. Her kan loven være med til at give nye muligheder,” mener innovationsekspert og direktør i Innovation Lab, Mads Thimmer.
Han tilføjer:
”Virksomhederne har mest koncentreret sig om at få nye kunder og fastholde dem, de har. Nu bliver det også et markedsparameter, at man kan terminere kundeforholdet. En ubehagelig proces, der ikke har givet gevinst hidtil – men det kan den måske blive?”
Juristen
”Vi er på vej mod en professionalisering af risici og fejl-spørgsmål. Med den ny EU-persondataforordning skal der tænkes privacy ind i alt. Vi kommer alle til at forholde os til risiko og fejl. Opfinder man en ny sagsgang eller forretningsproces, så bliver det ikke kun teknik – vi kommer til at tænke privacy by design, hver gang vi udvikler et nyt produkt eller en ny service.”
Tue Goldschmieding, advokat og partner i Gorrissen Federspiel.
Iværksætteren
”Som iværksætter vil jeg skide på den slags regler – og se hvad der sker. Det er ikke de små, som de går efter. Det har man ikke ressourcer til. Når myndighederne med tiden har fundet ud af, hvad reglerne betyder, så kommer der en 10-punktliste med best practice fra FDIH (Foreningen for Dansk Internet Handel). Så vil jeg begynde at kigge på det.
Men det bliver dyrere at drive forretning, og jeg er helt sikker på, at nogen kommer til at lukke på grund af EU-direktivet.”
Martin Thorborg, serieiværksætter og stifter af blandt andet Jubii, Amino og Dinero.
Krystalkuglekiggeren
Det er et paradigmeskift, hvor noget af det mest interessante er, at du har ret til at blive glemt og slettet. Jeg tror, der kommer nogle robotter, der kan styre det. Der er mange forbrugere, der går op i privacy, så jeg tror jeg, at virksomhederne kan bruge det som en fordel i markedsføringen at overholde privacy-reglerne.
Mads Thimmer, direktør i Innovation Lab.
Forbrugeren
Vi kommer til at se endnu flere databrud, IT-kriminalitet, krænkelser, falske mails, sms’er, konkurrencer og meget mere. De kriminelle er flyttet fra gaden og ind på computeren – bare det seneste år er der sket en stigning i datakriminaliteten på 300 procent. Så EU’s datadirektiv er klar forbedring. Vores nuværende databeskyttelseslov er 1995. Det er 21 år siden og i mellemtiden er udfordringerne blevet helt, helt anderledes.
Anette Høyrup, jurist i Forbrugerrådet.
Fagforeningen
Det er arbejdsgiverens forpligtelse at forholde sig til EU-forordningen og ud fra den skrive retningslinjer og datapolitik, så medarbejderne ved, hvordan de skal agere.
De fleste ansatte er ikke vant til at tænke i persondataregler og derfor sker der formentlig i begyndelsen flere fejl, indtil reglerne er indarbejdet. Fejl er noget der sker for alle ansatte, og det bliver ikke anderledes, selvom der kommer flere regler. Hændelige fejl kan aldrig føre til hverken opsigelse eller personlige erstatningskrav, så medmindre en ansat laver usædvanligt mange fejl eller fejl med vilje er der næppe grund til bekymring.
Klara Hoffritz, politisk juridisk konsulent og advokat i HK Privat
Virksomhederne
Forordningen tager i den grad vare på forbrugerens rettigheder, hvilket er rigtig godt. Men der venter en del arbejde for virksomhederne – særligt de små og mellemstore. De store har i forvejen styr på mange af tingene vedrørende persondata, men for de mindre virksomheder er det en helt ny verden at forholde sig til.
Det bliver en stor ledelsesopgave at skabe kulturændring, hvor alle medarbejderne føler ansvar for data – nu skal alle være bevidste om, hvad der er persondata, hvor de anbringes og hvordan de håndteres.
Birgitte Hass, administrerende direktør IT-Brancheforeningen.
Et paradigmeskift i privacy
\ Det bliver alle medarbejderes ansvar at overholde persondataforordningen – ikke bare et ansvar for virksomhedens jurister.
\ Borgere, kunder og tidligere ansatte får krav på sletning af data om dem selv.
\ Virksomhederne skal indberette om tab af persondata eller brud på datasikkerheden indenfor 72 timer.
\ Brud på persondataforordningen kan resultere i milliardbøder.
\ Kontrollen rykker fra system-niveau til felt-niveau. Alle virksomheder har data, som de ikke har styr på – det er en trussel både i forhold til cyberangreb og compliance. Typisk er omkring en tredjedel af virksomhedens data ustrukturerede på fællesdrev og små-systemer.
\ Offentlige myndigheder og virksomheder, der håndterer personoplysninger eller følsomme oplysninger i stor skala, skal udpege en slags data-tillidsmand. En Data Protection Officer, DPA.
\ EU’s persondataregler bliver en forordning. Det betyder, at reglerne i modsætning til et direktiv ikke først godkendes af de enkelte landes parlamenter. De har umiddelbart virkning i alle lande.