25. maj er ikke målstregen. Det er startlinjen

Dette er en kronik skrevet af en ekstern kronikør. Jyllands-Posten skelner skarpt mellem journalistik og meningsstof. Vil du skrive en kronik? Læs hvordan her.

Der er lagt mange kræfter i at implementere EU’s nye databeskyttelsesforordning, GDPR, på tværs af virksomheder, organisationer og myndigheder de seneste mange måneder, ja sågar år. Og med god grund. Forordningen rummer en række nye principper for, hvordan vi håndterer persondata. Principper som stiller krav til måden, vi arbejder på og til sikkerheden omkring informationshåndteringen, når det drejer sig om borgere, kunder eller samarbejdspartneres persondata.

Netop på grund af alt det arbejde, som er lagt i at implementere forordningen, kan man let komme til at kigge frem mod den 25. maj som målet. Vi klarede den!

Men det er langt fra realiteten. Snarere end målstregen markerer den 25. maj startskuddet. Ikke til et forfølgelsesløb, har Datatilsynet heldigvis sagt. Heller ikke til et 100-meterløb – dertil er forordningen ganske enkelt for kompleks. Hvis noget, markerer den 25. maj startskuddet til en stafet, hvor myndigheder, virksomheder og organisationer skal samarbejde for at lykkes med den bedst mulige databeskyttelse.

Den første stafet, som er nødvendig, er den danske databeskyttelseslov, som blev vedtaget i Folketinget den 17. maj. Den er et nødvendigt tillæg til forordningen, da der er efterladt rum til national implementering af udvalgte punkter. Ligeledes udestår endnu en del konkret vejledning om, hvad det i praksis betyder, når der i forordningen f.eks. står, at de nye principper ikke må hindre folk i at drive forretning, eller at der er en forventning om ”passende” foranstaltninger. Nogle vejledninger er færdige, andre udestår som nævnt, og endnu andre konkrete punkter vil først finde sin implementering igennem reel praksis og efter harmonisering på tværs af EU-landene. Derfor er det også glædeligt, at Datatilsynet har meddelt, at det ikke kommer til at udstede bødeforlæg til at starte med, men i stedet prioriterer vejledning.

Herefter venter det lange, seje træk. Faktum er nemlig, at selv om vi har beskrevet nye arbejdsgange, implementeret ny teknologi og udarbejdet databehandlingsaftaler, så handler implementeringen af GDPR først og fremmest om én ting: En ny kultur i forhold til sikker og ordentlig persondatabehandling.

Ledere og medarbejdere skal ganske enkelt lære at behandle data på nye måder. Vi skal udvikle en ny kultur for, hvad og hvordan vi gemmer, sender, videreformidler, behandler, sletter osv. Det tager tid at lære. Og vi kommer utvivlsomt til at lave fodfejl undervejs.

Det kan sammenlignes med at erhverve sit kørekort. Nok har vi terpet teori og lært reglerne til fingerspidserne. Men det er først nu, efter den 25. maj, at vi for alvor skal lære at køre. Det er muligt, at der kommer en smule slingren i starten, men med tiden bliver det rutine.

Heldigvis. For principperne i GDPR er vigtige og nødvendige i en stadig mere digitaliseret verden. Selvfølgelig skal vi som borgere have krav på at vide, hvad andre ved om os.

I Danmark har vi heldigvis gode forudsætninger for at lykkes med den kulturændring, som implementeringen af GDPR kræver. Vi har god it-infrastruktur, og der er kommet større fokus på sikkerhedssiden, end der er i mange andre lande. Det giver os mulighed for at sætte det gode eksempel for, hvordan man kan efterleve principperne i forordningen.

Tag cloud-løsninger som et eksempel. Enkelte ser stadig skyen som en kilde til mulige sikkerhedsbrist, men cloud-løsninger rummer flere muligheder for at understøtte netop GDPR og implementering af en gennemsnitligt langt højere sikkerhed som et indbygget element i databehandlingen. Skyen gør det eksempelvis muligt at gennemføre en konstant professionel og tidssvarende opdatering og vedligeholdelse af både tekniske og procesorienterede sikkerhedskontroller – noget som historisk har vist sig endog meget svært for den enkelte organisation at gennemføre.

Det er en del af baggrunden for, at man i f.eks. den fællesoffentlige digitaliseringsstrategi har inkluderet anvendelse af cloud-baserede teknologier som et selvstændigt initiativ.

Medarbejderne i danske virksomheder kommer i langt højere grad, end tilfældet er i dag, til at skulle vurdere, om de personoplysninger, der behandles som led i deres arbejde, håndteres korrekt. Og tendensen ses allerede i de henvendelser, virksomheder i branchen får fra både kunder, partnere, kolleger og de virksomheder, vores organisationer servicerer. GDPR har fået meget omtale og ikke kun på direktionsgangen og i bestyrelseslokalerne.

Alle fra den lokale bager til globale virksomheder er i disse måneder i gang med at træne deres medarbejdere i god ”datahygiejne”. Det gør organisationerne, fordi de skal, men i lige så høj grad, fordi ordentlig håndtering af personoplysninger fremover af mange vil forventes at få samme opmærksomhed, som virksomhedens CSR-aktiviteter eller klima/miljøindsats. Et vigtigt element er også, at der gennem dette arbejde med at opbygge en ”passende” tilgang til databehandling også potentielt kan opstå en meget bedre modstandsdygtighed over for cyberangreb. Oftest ser man, at de aktører, der angriber organisationer, har held med deres forehavende, hvis de udnytter medarbejderes manglende datasikkerhedsmæssige kompetencer eller utidssvarende it-platform og beskyttelsesteknologi. Implementeret rigtigt har vi mulighed for, at GDPR kan bidrage til at modernisere og dermed i højere grad sikre vores it-infrastruktur og enheder, men også at gøre det menneskelige forsvar langt stærkere, fordi man som person gennem arbejdet med GDPR bliver bevidst om data, deres værdi og hvilke risici, der er forbundet med databehandlingen.

Tænk, hvis vi i Danmark satte os for at være foregangsland for, hvordan man gør? Ikke unuanceret og ukritisk over for de mangler og udfordringer, som GDPR også bestemt indeholder, men ved nøgternt og i et samarbejde at finde den pragmatiske løsning, der tilgodeser alle interesser. Dem, der ignorerer eller bevidst tilsidesætter reglerne, skal straffes, men til forskel fra, hvad man ser i visse andre lande på dette område, bør vi i Danmark i øvrigt arbejde for at finde den løsning, der passer til danske forhold, når de vigtige spørgsmål om privatlivsbeskyttelse i en digitaliseret verden skal besvares. Danmark er samtidig i den unikke position, at vi har mulighed for at kunne kombinere en ekstrem høj grad af digitalisering og dermed dataanvendelsesøkonomi med en potentielt lige så stærk databeskyttelseskultur og -økonomi.

Det er der på både kort og mellemlang sigt dansk vækst og danske arbejdspladser i.