KRONIKK

EUs revisjon av GDPR svekker både borgere og virksomheter

EUs revisjon av GDPR vil gjøre lovgivningen mer uklar, samtidig som mer ansvar legges over på virksomhetene. Dermed er det en risiko for at lovgivningen både svekker borgernes rettssikkerhet og gjør det vanskeligere for bedrifter og myndigheter å navigere i reglene.

Revisjonen av GDPR tilføyer en rekke uklare, elastiske formuleringer – og samtidig skyves mer ansvar over på virksomhetene selv til å vurdere hvilke data som omfattes av loven. Det er en farlig kombinasjon, mener innleggsforfatteren.
Niels Bertelsen Niels Bertelsen Niels Bertelsen Forbundsleder, Prosa – forbundet af It-professionelle
Publisert Sist oppdatert

Dette debattinnlegget ble først publisert på Altinget, som ABC Nyheter har et samarbeid med. 

EU jobber for tiden med en større revisjon av GDPR.

Det presenteres ofte som en etterlengtet forenkling og en hjelp – særlig til små og mellomstore bedrifter. Men når man leser teksten, er det dessverre en del fallgruver.

Det er en reell risiko for at flere av de foreslåtte endringene vil skape betydelig mer usikkerhet, svekke borgernes rettigheter og gjøre det vanskeligere for både myndigheter og virksomheter å navigere i reglene.

Problemet er grunnleggende: Revisjonen tilføyer en rekke uklare, elastiske formuleringer – og samtidig skyves mer ansvar over på virksomhetene selv til å vurdere hvilke data som omfattes av loven.

Det er en farlig kombinasjon.

Dette er Altinget

Altinget.no er Norges første rendyrkede politiske nettavis. Med 28 nisjemedier i Danmark og 11 i Sverige er Altinget allerede et etablert mediehus i Norden. Målet er å øke forståelsen for nasjonal og europeisk politikk gjennom nisjejournalistikk av høy kvalitet – med et nøytralt utgangspunkt.

I den reviderte teksten finner man en rekke vage uttrykk som «reasonably likely», «not necessarily», «where appropriate», «merely because» og «in-depth processing». Med et slikt språk blir det langt vanskeligere å vurdere hva reglene egentlig betyr.

Når en lov er uklar, rammer det særlig tre grupper:

  • Borgere, som mister oversikten over hvilke rettigheter de faktisk har
  • SMB-er, som ikke har en juridisk avdeling til å tolke hva som er riktig
  • Myndigheter, som må føre tilsyn på et usikkert juridisk grunnlag 

Det er urealistisk å forvente at borgere selv skal kunne ta stilling til om en virksomhet har gjort en «korrekt vurdering».

Vi har sett lignende problemer tidligere – for eksempel innen patentrett, der vage unntak har gjort det mulig å omgå forbudet mot programvarepatenter. Det er ingen grunn til å gjenta den feilen i Europas viktigste databeskyttelse-lov.

Lovgivning bør etterstrebe klarhet og forutsigbarhet. Flere steder gjør revisjonen det motsatte.

Et av de mest problematiske aspektene ved revisjonen er at virksomheter i enda større grad selv må vurdere om deres data omfattes av GDPR, særlig når det gjelder kategorisering av data og bruk av pseudonymisering.

Det kan være en administrativ lettelse, men i praksis flytter man et avgjørende juridisk spørsmål fra myndighetene til dem som har størst interesse i å utvide gråsonen.

Det er urealistisk å forvente at borgere selv skal kunne ta stilling til om en virksomhet har gjort en «korrekt vurdering», og det er risikabelt å gjøre virksomhetene til dommere i egne saker.

Derfor vil jeg anbefale at man gjør det enklere å kategorisere korrekt, og at tvilsspørsmål fortsatt skal avgjøres av datatilsyn eller domstoler – ikke av private aktører. 

Les også på Altinget: Ansetter tek-politisk rådgiver: – Setter menneskerettighetene på prøve

Svekker rettssikkerheten

Revisjonen åpner for mer bruk av pseudonymiserte data uten de samme kravene som i dag.

Problemet er at teknologisk utvikling – særlig innen kunstig intelligens – gjør det stadig enklere å identifisere personer, selv når data er pseudonymisert.

Det har skjedd tidligere, blant annet med AOL-søkeloggene som ble offentliggjort, der brukere ble identifisert kun ut fra søkeord og mønstre.

Hvis EU nå samtidig gjør det lettere å flytte pseudonymiserte data ut av EU, mens nøklene til å re-identifisere dem befinner seg utenfor EU, skaper man et scenario der borgerne i praksis mister kontrollen over sine data.

Beskyttelsesnivået bør ikke senkes på grunn av teknologisk optimisme. Tvert imot bør reglene ta høyde for at re-identifisering blir lettere, ikke vanskeligere. 

Dersom denne retten begrenses, kan det i praksis bli umulig å få innsyn i egne helseopplysninger.

Et annet problematisk forslag i revisjonen er en begrensning av borgernes rett til innsyn i egne data.

I dag kan man som borger be om en kopi av de opplysningene en virksomhet har om en. Det er ofte det eneste verktøyet man har for å oppdage feilaktige opplysninger eller ulovlig behandling.

Revisjonen legger opp til at man kun skal ha rett til innsyn dersom det skjer med et spesielt «personvernsformål». Det undergraver grunnideen om at det er borgerens data, og at borgeren ikke skal måtte forklare seg for å få innsyn.

Dersom denne retten begrenses, kan det i praksis bli umulig å få innsyn i egne helseopplysninger for å sjekke om det er stilt en feil diagnose – fordi det ikke anses som et personvernsformål.

Å svekke denne retten vil i praksis svekke både rettssikkerheten og forbrukertilliten. 

Les også på Altinget: Historisk: Får ansvar for gigantprosjekt

Skaper mer usikkerhet

Revisjonen fremstilles som en lettelse for SMB-er. Men uklare begreper og nye unntak skaper mer usikkerhet, ikke mindre.

Hvis EU virkelig ønsker å gjøre reglene enklere for små virksomheter, burde lettelsene knyttes til mengden og typen data, ikke til størrelsen på virksomheten.

En frisør med 300 kunder utgjør ikke samme datarisiko som et privat sykehus med 100 ansatte og millioner av helseopplysninger. Og en hermetikkfabrikk med 100 ansatte utgjør ikke samme datarisiko som en oppstartsbedrift med fem personer som analyserer millioner av folks politiske holdninger.

Derfor bør lettelser baseres på objektive kriterier om dataene – ikke virksomhetens størrelse. For eksempel kan unntak gjelde for selskaper med færre enn 1000 registrerte borgere og ingen sensitive data. Det er operasjonelt, rettferdig og forståelig.

Et positivt aspekt ved revisjonen er ideen om at organisasjoner skal respektere borgernes personverninnstillinger – som for eksempel et «nei takk til sporing» i nettleseren.

Men forslaget unntar medieleverandører, og dermed svekkes poenget – siden disse ofte er blant de mest aggressive aktørene når det gjelder sporing. Hvis personvern skal tas på alvor, må det gjelde konsekvent. 

Skal GDPR utvikles til en sterkere og mer tidsriktig beskyttelse av borgerne – eller svekkes gjennom uklarhet og unntak?

Viktig veivalg

Revisjonen av GDPR burde styrke borgernes rettigheter, sikre teknologinøytralitet og gjøre hverdagen enklere for virksomheter, myndigheter og borgere. Dessverre går forslaget flere steder i motsatt retning.

Derfor oppfordrer jeg til:

• Utskiftning av de uklare og elastiske begreper med begreper som tolkes likt i hele EU

• Å ikke la virksomhetene selv definere om GDPR gjelder for dem

• Bevaring av borgernes fulle rett til innsyn i egne data

• Innføring av enkle og objektive regler for virksomheter med små datamengder• Å gjøre respekt for personverninnstillinger obligatorisk for alle aktører – uten unntak

EU står overfor et viktig veivalg: Skal GDPR utvikles til en sterkere og mer tidsriktig beskyttelse av borgerne – eller svekkes gjennom uklarhet og unntak?

Hvis målet er et rettssikkert og digitalt Europa, bør valget være enkelt. 

---

Dette innlegget ble først publisert i danske Altinget. Det er oversatt til norsk av Altinget.no's Ingrid Skovdahl.

Stemmer er ABC Nyheters debattseksjon. Dette er meningsytringer, og innholdet står for skribentens regning. Ønsker du å bidra? Send kronikk eller debattinnlegg til stemmer@abcnyheter.no.

stemmer personvern kronikk eu danmark altinget

Registrer deg for å bli med i debatten

Registrerte brukere kan skrive egne innlegg, og delta i debattene.

Opprett profil