Persondata indsamles, som var vi i det vilde vesten
På papiret er indsamling af persondata reguleret, men i praksis forholder det sig helt anderledes. Og det bør virksomhederne tage ansvar for.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Det er ikke for sjov, at persondata bliver kaldt digitalt guld.
Primært fordi detaljer om vores personlige internetfærden rummer astronomisk forretningspotentiale – både for de virksomheder, der indsamler persondata, og dem, der rådgiver om håndteringen af selvsamme. Det digitale gulds fangarme har bredt sig så langt ud så hurtigt, at lovgivninger og forordninger forpustet prøver at følge med.
På papiret ser området da også nogenlunde reguleret ud: Analyseinstituttet Gartner estimerer, at 75 procent af verdensbefolkningens persondata vil være omfattet af den ene eller anden lovgivning i 2024 – en stigning fra blot 10 procent i 2020.
Problemet er bare, at papiret lyver.
Det vilde vesten
Persondatas guldmetafor dækker nemlig også over de kommercielle kræfters ageren på området: En slags digitalt klondike med guldgravere, der støvsuger alle hjørner af internettet for personlige oplysninger og sælger dem videre til højestbydende.
Mere eller mindre ureguleret. Det er der i hvert fald meget, der tyder på.
ChatGPT, den populære nye dreng i AI-klassen, er f.eks. godt i gang med at vende op og ned på kunstig intelligens og persondata i sådan en grad, at det italienske datatilsyn kortvarigt forbød chatrobotten i landet. Det skyldtes teknologiens ulovlige indsamling af italienernes personlige oplysninger.
Herhjemme står det ikke meget bedre til. Da GDPR-loven blev indført, var det med millionbøder som raslende sabel, hvis virksomheder ikke havde styr på reglerne. Imidlertid udebliver bøderne, når danske virksomheder overtræder loven. De fem største GDPR-bøder i Danmark har f.eks. ligget ubehandlede hos domstolene i så lang tid, at de ifølge en it-sikkerhedsspecialist fra Datatilsynet går ud over vores fundamentale menneskerettigheder. Ifølge en anden sikkerhedsekspert fra Alexandra Instituttet har ingen reelt fået en straf endnu.
Mange overtrædelser er en gråzone
Spørgsmålet er så, om virksomheder, der bryder persondatareglerne, gør det med fuldt overlæg. Det kan man fristes til at tro. Men i løbet af mine mange år i it-industrien har jeg erfaret, at det næppe er så sort-hvidt. For der er flere årsager til brud.
Én af årsagerne, som jeg har fået bekræftet af kunder og samarbejdspartnere med indblik i emnet, er, at overtrædelser ofte skyldes teknologiske landvindinger, der går så hurtigt, at lovgivningen simpelthen ikke kan holde trit. Det er ChatGPT et krystalklart eksempel på.
Udbredelsen af nye teknologier gør det nemlig sværere end nogensinde for virksomheder at vide, hvordan de udvikler og anvender dem på en måde, der både er profitabel, sikker og ansvarlig. Efterhånden som reguleringer indhenter den digitale acceleration, bliver det paradoksalt nok sværere at overholde dem. Især internationale virksomheder står f.eks. over for en nærmest gordisk knude af pendulerende datalove i lande med konkurrerende interesser.
Min erfaring er, at virksomheder som regel tager emnet ganske alvorligt. De enkelte medarbejdere kan derimod være mere sløsede i forhold til, hvordan de lagrer dokumenter med persondata –f.eks. ved at have ansøgninger eller data fra undersøgelser liggende for længe. Mange overtrædelser skyldes altså enkelte medarbejdere, som ikke lever op til virksomheders egne dataregler, oftest utilsigtet.
Derudover er det også dyrt for virksomheder at sætte systemer og processer op, der skal forebygge brud på dataregler og -politikker – en omkostning, som mindre virksomheder af økonomiske årsager måske vælger ikke at prioritere.
Databeskyttelse som konkurrencefordel
Én ting er, at myndighederne ikke er konsekvente nok i håndhævelsen af persondataovertrædelser. En anden er, at virksomheder i mine øjne også bør tage ansvaret om etisk persondatahåndtering på egne skuldre og gå forrest i udviklingen mod et bedre digitalt samfund, der sikrer privatlivets fred.
Det kræver selvfølgelig også, at der ligger handling bag. Så hvordan gør man dét?
Til en start skal virksomheder indse fordelen i at indtage en proaktiv holdning til foreslåede eller kommende love om beskyttelse af persondata, så de kan være forberedte på at agere i overensstemmelse med dem.
Dernæst gør virksomheder klogt i at evaluere, om deres systemarkitektur skal revideres for at understøtte lokaliseret datahåndtering. Og slutteligt bør de udarbejde en konkret strategi til samtlige af deres afdelinger – ikke kun it-afdelingen – som gør forvaltning, ejerskab og beskyttelse af personlige oplysninger til et kollektivt ansvar, så der indsamles så få personlige data som muligt.
Ikke kun fordi det er det rigtige og menneskelige at gøre, men fordi det også kan omsættes til en konkurrencefordel. I en tid, hvor virksomheder prioriterer ESG-principper som aldrig før, er det kun rettidig omhu at udvise digital ansvarlighed.
