Reglerne om GDPR har lige siden deres indførsel været synonyme med bøvl og bureaukrati. Og det kan være svært at blive klog på, hvem der er skyld i hovedpinen. Det danske Folketing skyder skylden på EU-Kommissionen, som det mener har tilladt for store forskelle i, hvordan EU-landene hver især har implementeret GDPR.
Omvendt mener EU-Kommissionen, at det er Danmarks egen skyld, at vi er havnet i et stort roderi af bureaukrati og regler, fordi vi har overimplementeret reglerne.
Men det har dog ikke fået Folketinget til selv at tage skeen i den anden hånd og få rettet op på de fejl og mangler, som overimplementeringen af GDPR-lovgivningen har givet os. Det er i hvert fald meget minimalt.
Og det har just ikke hjulpet på situationen, at EU-Kommissionen mente, at GDPR havde været en kæmpe succes, da den i sommer kom med sin første evaluering af lovgivningen. Jeg er tilbøjelig til at give den ret. For hvis dét at være en succes kræver mere bøvl, mere usikkerhed, mere papirnusseri og langsommelighed, ja så har den ret i sin anskuelse. Men helt ærligt, det er næppe de ingredienser, der skal blandes sammen, for at slutproduktet er vellykket.
Uanset hvis skyld det er, står det klart, at reglerne er en kæmpe hæmsko for erhvervslivet, kommuner og foreninger. Reglerne er så uklare og komplicerede, at det for de fleste vil være svært at forstå dem til fulde. Og formår man ikke det, så falder hammeren.
For bødestørrelserne for at overtræde reglerne er af så stor en størrelse, at det kan få mindre virksomheder og små foreninger til at dreje nøglen om.
Vi har altså at gøre med et så gakket og kompliceret regelsæt, at enhver kan komme til at syne kriminel helt uberettiget og derefter må tage til takke med en straf, der kan have alvorlige konsekvenser, hvis man træder ved siden af.
Der findes et utal af historier og eksempler på, hvordan GDPR-vanviddet har skræmt kommuner, foreninger og virksomheder fra vid og sans. For eksempel kommuner, der i frygt ikke tør indkalde socialt udsatte til sundhedstjek via en sms, fordi sms’er som udgangspunkt ikke må indeholde personfølsomme oplysninger. For eksempel slagteren, der ikke tør gemme sine kundebestillinger fra folk, der ikke ugentligt sætter deres ben i butikken, fordi der på papirlappen oplyses et navn og telefonnummer. Eller kirkebladene, der er bange for at få et rap over fingrene og derfor ikke længere bringer navne på døbte, konfirmerede, viede og døde, fordi oplysninger om trosretning kategoriseres som følsomme personoplysninger.
Derfor mener jeg, at der trænger til at blive gjort godt og grundigt hovedrent i GDPR-reglerne. Ikke alle mulige lappeløsninger. Nej, et reelt opgør, så vi får ryddet op. Det markerede jeg også for nylig, da vi i Europa-Parlamentet havde en afstemning om, hvorvidt reglerne skulle revideres, så de kunne stemme overens med den reelle virkelighed. Og det støttede jeg selvfølgelig.
Det er ikke, fordi jeg ikke mener, at vi skal beskytte borgernes personfølsomme oplysninger mod misbrug fra virksomheder og myndigheder. Selvfølgelig skal vi det.
Men det kræver ikke, at reglerne er så rigide og umulige, at de spænder ben for ganske almindelig sund fornuft.
Uanset hvem der har jokket i spinaten, skal reglerne laves om.
