3.000 syge danskere har i over et år ikke fået tilbudt behandling mod Hepatitis C pga. af persondataloven. Men skal GDPR-loven veje tungere end borgernes sundhed?
Vi har set alt for mange eksempler på en GDPR-frygt, der forhindrer danske virksomheder og myndigheder i at gøre det rigtige.
F.eks. omtales der i dag i medierne en sag, hvor sundhedsmyndighederne har valgt ikke at fortælle 3.000 danskere, at de lider af smitsom leverbetændelse, da personerne ikke aktivt på forhånd har valgt, at de ønsker at modtage denne information.
Også andre steder ser vi, at brugen af data stoppes, fordi man er bange for, at man overtræder persondataforordningen, og dermed står med en potentiel shitstorm og efterfølgende kæmpebøde.
Muligheden for at spotte elever, der potentielt dropper ud af en uddannelse, at opdage rygerlunger før det er for sent eller at identificere udsatte familier, er andre eksempler på steder, hvor man ikke tør benytte de tilgængelige data.
Det er et par blandt mange eksempler på en GDPR-praksis – der uanset om der er tale om korrekt fortolkning eller overforsigtighed – er en skadelig praksis, som ikke hjælper dem, der har behov for hjælp. En praksis som går langt ud over formålet med GDPR, og som kan ende med store og utilsigtede konsekvenser.
Et problem at vi altid vil være duks
Danmark er og bliver verdensmester i overimplementering af EU-lovgivning. I GDPR-sammenhænge spiller det dog også en stor rolle, at vejledningerne ikke har været præcise nok, og udsigten til enorme bøder har været alt for store til, at man som virksomhed eller myndighed turde gøre det, der føles rigtigt.
Vi skal tilbage på sporet igen. Og her er det rigtig glædeligt at høre, at regeringen lægger op til en evaluering af den danske implementering og åbner op for flere relevante løsninger, herunder bland andet:
Påbud før bøder: Hvis bødehammeren falder ved første besøg, og slår brutalt ned på uundgåelige fejlfortolkninger, så mister vi incitamentet til at stole på vores egen vurdering. Hvis påbud kommer før bøder, så vil man i langt højere grad turde gøre, hvad der er rigtigt i forhold til at hjælpe de mennesker, der har behov for det.
Forhåndstilsagn: Hvis man kan få godkendt sin praksis og processer hos Datatilsynet, kan man få fjernet tvivlen og sikre, at den praksis man ønsker, også lever op til loven.
GDPR-implementeringen skal evalueres
IT-Branchen mener helt generelt, at Datatilsynet har været gode til at vejlede og rådgive f.eks. ved kontrolbesøg og dialog. Undersøgelser viser da også, at selvom Danmark en af Europas dukse, når det handler om at anmelde daabrud, er vi langt fra at være det land, der har udstukket flest og størst bøder.
Det viser, at Datatilsynet har været gode til at håndtere databrud, uden at ty til bødeblokken.
Men det viser også at frygten for persondataloven er meget udbredt i Danmark, og at vi måske også er for forsigtige og anmelder for meget.
IT-Branchen vil hilse en evaluering af dansk GDPR-implementering velkommen og håber, at regeringen vil benytte en evt. evaluering til at styrke modet hos de danske virksomheder og myndigheder til at anvende data rigtigt.
GDPR er en modig og visionær lovgivning fra EU, der har sat en helt ny agenda ift. databeskyttelse. Men den danske implementering er blevet et compliancemonster, der handler om skemaer og overforsigtighed.
Vi skal have flyttet fokus over på målsætningen med GDPR, som netop handler om at beskytte borgernes data bedst muligt.
Og her er det helt evident, at vi har brug for at styrke Datatilsynet – både med flere ressourcer, men også med flere muligheder, der kan give dem en mere proaktiv og vejledende rolle, hvor deres primære målsætning er at klæde danske virksomheder og myndigheder på til korrekt dataanvendelse.
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.