2 minute read
Lad os få en ny ordning…
Af
Direktør for teknologi og udvikling hos Lindhardt og Ringhof Uddannelse
Advertisement
Efter min mening har GDPR grundlæggende set været en rigtig god ide. Før forordningen trådte i kraft, var der bekymrende lidt fokus på beskyttelse af persondata, og min opfattelse var, at virksomheder og myndigheder til tider øslede med persondata, hvor man sjældent vurderede risikoen for den registrerede. Man registrerede alt for meget, alt for længe og uden nødvendige sikkerhedsforanstaltninger for risikoen for databrud.
GDPR tvang virksomheder og myndigheder til at kortlægge deres brug af persondata og ikke mindst ud fra en risikovurdering at vurdere risikoen for den registreredes frihedsrettigheder. For beskyttelse af vores persondata er en vigtig frihedsrettighed, og da Internettet aldrig glemmer, så vil et brud på persondatasikkerheden have langvarige konsekvenser for den person, det går ud over.
Børns persondata er særligt beskyttet i GDPR, hvilket er vigtigt. Som barn har man ofte ikke mulighed for, at vurdere rimeligheden i et samtykke og det har været meget positivt, at GDPR har lagt strikse rammer ned over dette.
Fra persondata-beskyttelse til principkamp mod USA
Efter 4 år med GDPR er vi nu et sted, hvor beskyttelse af persondata tages meget alvorligt og de fleste organisationer har taget GDPR til sig. Det fylder i alle organisationer, og det er sundt. Efter Schrems II dommen har fokus dog flyttet sig fra generel beskyttelse af persondata til helt at undgå at benytte amerikanske cloudleverandører for dermed at fjerne risikoen for, at persondata skulle falde i amerikanske efterretningstjenesternes hænder, hvis en amerikansk domstol skulle give hjemmel hertil. Det synes jeg er et ærgerligt fokus, fordi det er meget svært (og måske umuligt) at beskytte sig mod, at efterretningstjenester kan få fat på ens data. Det er jo også værd at bemærke, at europæiske efterretningstjenester er undtaget for GDPR. Vi skal naturligvis ud fra en risikovurdering gøre, hvad vi kan for at beskytte persondata mod at blive indsamlet af efterretningstjenester, fx gennem brug af kryptering, men vi kan aldrig helt fjerne risikoen. Internettet er grundlæggende en sammenkobling af en masse netværk og vi kan ikke bestemme de veje, som vores kommunikationspakker tager på Internettet.
Og det føles som en dyr og omsonst pseudokamp, vi som europæiske virksomheder og offentlige myndigheder kæmper lige nu. For med den ene hånd tillader skiftende danske regeringer, at amerikanske efterretningstjenester kan lytte med på Internettrafikken i Danmark, mens GDPR i den anden hånd gør det meget svært at benytte amerikanske cloud-leverandører, fordi man ønsker helt at fjerne risikoen for, at data skulle komme i hænderne på selv samme efterretningstjenester.
Det ville være godt med en klarere retspraksis på området, og at kampen ikke skulle kæmpes fra tue til tue, som fx tilfældet med Helsingør- og Aulasagen.
Mit håb er, at der kommer en ny ordning mellem EU og USA, så det ikke er hver enkelt virksomhed eller myndighed, der skal vurdere lovligheden og efterfølgende risikere, at blive underkendt af lokale datatilsyns vurderinger.
