Den välkomna dataskyddsförordningen GDPR kan bli konsulternas våta dröm. Det hela påminner om Y2K-hysterin.
Vid nyåret 2000 fruktade en del skämtsamt, somliga på fullt allvar, att livsviktiga datorsystem och samhällsfunktioner skulle bryta samman till följd av den så kallade millenniebuggen. Farhågorna besannades inte.
Möjligen såddes fröna till uppståndelsen i egensyfte av IT-branschen, varefter fasorna piskades upp till orimliga proportioner av media. Enligt beräkningar spenderade storföretag, organisationer och myndigheter hundratals miljoner euro för att åtgärda ”problemet” och korrigera diverse datorprogram.
I slutet av maj införs hastighetsbegränsningar på datamotorvägen. Då EU:s allmänna dataskyddsförordning GDPR träder i kraft framtvingas ett perspektivskifte: vem äger data? Affärsintressen underordnas rätten till privatliv. Privata bolag besitter inte längre rätten till din personliga information bara för att den råkar vara lagrad på deras servrar.
Syftet är att stärka skyddet för privatpersoner vid behandling av personuppgifter. Samtidigt anpassas personuppgiftshanteringen till den digitala ekonomin. Tillsynsmyndigheterna får klor, och kan utfärda sanktioner på 4 procent av bolags globala omsättning. För att skapa trovärdighet behöver en vakthund en massiv piska då det gäller att tämja aktörer som Google, vars globala omsättning är 110 miljarder dollar.
Vi har bevittnat en vilda västernmentalitet och svart marknad för persondata (Facebook och Cambridge Analytica). Det förekommer både statlig och kommersiell massövervakning. Våra personuppgifter passerar organisationer vi är kund hos, men också deras partner och leverantörer.
Varje bolag som verkar i EU påverkas av GDPR, regelverket får därmed global räckvidd. Teknikjättar och webbhandel måste genomföra datarevision gällande ansvar och risker.
Samtidigt matar GDPR onödig spekulation: bara fantasin sätter gränser för tillämpningar. Förbjuds nu namntavlor i husbolags trappuppgångar (sällsynta och lätt identifierbara namn), och hur går det med kameraövervakning och smarta lås? Samtidigt utvidgar GDPR definitionerna av persondata: positionsdata, IP-adresser och övrig metadata.
Ovisshet skapar en marknad för diverse konsulter som säljer ’råd’, alltså en känsla av trygghet. Många av de krav som GDPR medför finns redan i personuppgiftslagen 1999/523, det handlar främst om en uppdatering och skärpning. Samtidigt bör var och en minnas att produkter och tjänster inte kan ”certifieras” för GDPR – denna myt sprids av skrupelfria leverantörer och konsulter som vill slå enkla mynt av okunskap.
Företag och större organisationer måste i högre grad än tidigare ha strukturerad koll på all data som samlas in, och hur datan hanteras. Allt ska dokumenteras och ansvaret går inte att outsourca.
Samtidigt kan det ta tre–fyra år att utforma en mer exakt bild av hur GDPR ska tolkas, praxis saknas ju. Vi kan vänta oss ett och annat rättsfall i EU-domstolen.
Den österrikiske internetaktivisten och juristen Max Schrems bedriver gräsrotsfinansiering för att lansera strategiska rättsfall och medieinitiativ till stöd för GDPR. Alla kan delta i kampanjen för ”None of your business” via https://noyb.eu/
Vi har alla rätten att bli bortglömda och raderade. I synnerhet då det gäller känsliga data såsom hälsouppgifter, politiska övertygelser, religion och sexualitet.
Genom sin pionjärroll sätter EU en global standard. ”Förtroende är bra men kontroll är bättre” lyder ett ryskt ordspråk. Blind tillit har lett oss vilse. Med Reagans ord: ”Trust but verify”.