Måske har vi fået GDPR nok nu?

En gidselsituation det vil tage mange år at se en ende på, for reglernes omfang er stadig kun ved at blive afdækket efterhånden som afgørelser fra de europæiske datatilsyn får sat definitioner på forordningens mange relative begreber.

Virksomhederne står derfor stadig med en administrativ byrde, der bare i Danmark allerede i 2018 havde kostet mere end otte milliarder kroner.

Vi er nået dertil, hvor vi bliver nødt til at tale om, hvorvidt GDPR bliver overimplementeret:

GDPR blev født ud fra et ønske om at få hånd i hanke med giganter som Facebook, Google m.fl., men vi er endt med et bureaukratisk monster, der pålægger selv små virksomheder at foretage endeløse juridiske vurderinger og tilpasninger for at leve op til de mange krav.

Ofte er der endda bare tale om data, der næppe kan karakteriseres som særligt følsomme: Almene kontaktoplysninger, en marketing-permission, købsdata, måske lidt surveydata og data om en kundes interaktion med virksomheden på digitale platforme.

Data der – hvad end en dataskeptiker konspirerer – i 99 procent af tilfældene benyttes til fuldstændigt legitime formål som at servicere et kundeforhold og levere målrettede tilbud og kommunikation.

Derfor er det at vende byrden den forkerte vej, at en lille virksomhed har ansvaret for at vide, hvordan alle de tjenester, den benytter, behandler data, hvor deres servere står, og at de i øvrigt ikke kigger med i de data, der lagres.

Med meget mere.

Det gælder for næsten alle de mest benyttede tjenester, at deres privatlivspolitikker lover fuld GDPR-compliance, men alligevel gør det svært at gennemskue, hvor data lagres, hvem der har adgang til dem – og af og til også, om data benyttes af dem til produktudvikling.

Særligt efter sidste sommers Schrems II-dom er det blevet de facto umuligt for virksomhederne at leve op til bestemmelserne om, at data skal lagres på servere placeret i Europa; tjenester som Slack, Mailchimp, Google Suite, LinkedIn, Facebook m.fl. gør det svært, hvis ikke umuligt, at finde ud af, hvor de data, man opbevarer via deres tjenester, lagres.

Og CRM-systemerne – ingen nævnt, ingen glemt – understøtter ikke en automatisk procedure for sletning eller opdatering af data, ligesom kun få understøtter permission-styring. Der er nemlig ikke noget incitament for at GDPR-compliancen sikres af dem.

Samtidig lader det vente på sig med en konkret vejledning til, hvordan virksomhederne skal forholde sig til Schrems II-dommen i en hverdag, hvor databeskyttelsen i mange tilfælde må vige for ønsket om at drive virksomhed.

Fordi der simpelthen ikke er europæiske alternativer til mange af de platforme, virksomhederne har behov for, for at kunne fungere.

Tilbage står så millioner af europæiske små og mellemstore virksomheder uden et team af husjurister eller store legal-budgetter, der har de bedste intentioner, men ikke en jordisk chance for at lave juridiske risikovurderinger for snart sagt ALT. 

Selv af et markedsledende system til udsendelse af noget så ufølsomt som nyhedsbreve, som det tyske datatilsyn slog fast i en afgørelse om Mailchimp.

Og det får mig til at spørge, om vi mon ikke har fået GDPR nok nu?

Hvordan får vi begrænset GDPR-implementeringen til det meningsfyldte og får en større del af opgaven over på for eksempel udbydere af tjenester, frem for de små og mellemstore virksomheder, der trods alt udgør et overvældende flertal af både det danske og globale erhvervsliv?