Kvæler virksomheders udviklingsmuligheder: Minister langer ud efter udskældt lov

Regeringen er klar til at finde den helt store høvl frem og fjerne overflødige og innovationshæmmende regler i en af EU’s mest udskældte lovgivninger, GDPR.

Det siger digitaliseringsminister Caroline Stage Olsen (M), som over for Finans varsler et opgør med den regeltunge databeskyttelsesforordning, der i dag udgør en stor administrativ byrde for de danske virksomheder.

»Stort set hver gang jeg spørger virksomheder eller myndigheder, hvad der står i vejen for, at de kan bruge den rette løsning eller ny teknologi, får jeg det samme svar: GDPR,« siger Caroline Stage Olsen.

Hun mener, at reglerne for databeskyttelse i dag er så omfangsrige, at de frarøver virksomhederne deres innovationsmuligheder og i sidste ende den europæiske konkurrenceevne. Derfor bør de forenkles.

»GDPR er en vanvittig vigtig lovgivning, og der er nogle store og vigtige balancer, man bliver nødt til at overholde. Lige nu synes jeg bare, at balancen er skæv,« siger Caroline Stage Olsen.

Udmeldingen fra digitaliseringsministeren kommer i direkte forlængelse af forlydender om et igangværende opgør med GDPR-reglerne i EU-systemet, som Finans tidligere har beskrevet.

EU-Kommissionen ventes inden sommer at fremlægge en ny plan for justering af den omfangsrige lovgivning, som danske virksomheder siden 2018 har skullet leve op til.

Formålet er at lette byrden for særligt de små og mellemstore virksomheder, for hvem forordningen har medført store økonomiske og administrative byrder. Ifølge erhvervsorganisationen SMVdanmark lyder SMV’ernes årlige regning for bureaukrati og regulering på 14 mia. kr.

Opgøret med GDPR skal også ses som et ekko af EU’s store afreguleringstogt affødt af den omtalte Draghi-rapport, som sidste år tog temperaturen på den europæiske konkurrenceevne. Konklusionen heri er klar; der skal skrides til handling, herunder afreguleres, hvis ikke EU skal tabe yderligere konkurrencekraft i kampen med USA og Kina.

Caroline Stage Olsen beskriver GDPR som en »dørstopper« og »væksthæmmende faktor«. Det gør hun med henvisning til tal, der ifølge hende viser, at 12 pct. af omkostningerne i små og mellemstore virksomheder kan føres tilbage til GDPR.

Hun gør det også med henvisning til en række virksomheder, som over for ministeren beskriver situationer, hvor de har løbet panden mod en mur, når de forsøger at innovere. Årsagen er ene og alene det komplekse og omfattende sæt af GDPR-regler.

Ministeren bruger som eksempel virksomheder, der ønsker at adoptere AI-løsninger i deres teknologi med henblik på at beskytte mennesker, men ikke kan få lov, fordi vi i dag vægter en – med Stages ord – kompleks lovgivning om persondata højere end det at beskytte personer.

»Og det, synes jeg, er ærgerligt,« siger Caroline Stage Olsen.

Mads Nørgaard Madsen, partner og rådgiver inden for bl.a. GDPR i revisions- og konsulentvirksomheden PwC, tegner et lignende billede af en lovgivning, som har skabt unødigt og ressourcekrævende bøvl.

Han var ellers en af databeskyttelsesforordningens store fortalere, da den i 2018 trådte i kraft.

Dengang beskrev han over for Politiken forordningen som en succes allerede inden dens ikrafttrædelse. Bl.a. fordi GDPR ryddede op i rodet efter 15 år med teknologisk udvikling og manglende fokus på datasikkerhed og privatlivsbeskyttelse.

I dag er Mads Nørgaard Madsen knap så entydig i sin vurdering af GDPR.

På den ene side mener han stadig, at loven er en succes, idet den har skabt fokus på et stort problem med uansvarlig behandling og opbevaring af persondata. På den anden side er GDPR blevet en så kompleks og omfattende størrelse for virksomhederne, at det går ud over udviklingsmuligheder, innovation samt muligheden for at bruge data.

»Derfor synes jeg, det er godt, at der nu er gang i dialogen om, hvordan GDPR kan forenkles, så vi kan lykkes med både at sikre brugernes data og fremme innovation,« siger han.

Det kan virke kontraintuitivt, at han mener sådan. En del af PwC-forretningen og Mads Nørgaard Madsens job er netop at rådgive virksomheder om eksempelvis GDPR. Han erkender da også, at der er en vis sandsynlighed for, at PwC kan miste noget forretning, hvis lovgivningen lempes.

»Men jeg er drevet af at drive forretning på noget, der har en reel anvendelighed og værdi for erhvervslivet,« siger Mads Nørgaard Madsen, der bakker op om digitaliseringsminister Caroline Stage Olsens ambitioner for fremtidens GDPR.

Øverst på Caroline Stage Olsens ønskeseddel står en risikobaseret tilgang til GDPR. Kravene til virksomheder bør med andre ord afspejle risikoen forbundet med deres opbevaring af data. Jo mindre risiko, jo færre krav og omvendt.

På den måde kan man sikre proportionalitet, siger digitaliseringsministeren, der henviser til, at man i EU-regi har haft succes med det i retningslinjerne for kunstig intelligens, den såkaldte AI-Act. Man sikrer også, at man ikke åbner en ladeport for, at f.eks. udenlandske techgiganter kan misbruge data, siger hun:

»Vi skal selvfølgelig stadigvæk have datasikkerhed i fokus – både over for vores egne virksomheder og i særdeleshed over for store virksomheder, som opererer på tværs af lande. Men vi skal gøre det på en måde, hvor vi ikke kvæler vores egne danske og europæiske innovationer. Det er jeg bekymret for, at den nuværende lovgivning er i gang med,« siger Caroline Stage Olsen.

Hvordan gør man GDPR mindre bureaukratisk uden at gå på kompromis med brugernes datasikkerhed?

»Det må vi finde ud af i forhold til, hvad det er for konkrete paragraffer, vi skal gå ind og lempe på. Men det kan jo for det første være ved at kigge på, om vi kan gøre det mere risikobaseret, og for det andet, om der er nogle rapporteringskrav for mindre virksomheder, som ikke giver mening.«

Kan du ligefrem se for dig, at SMV’erne skal fritages fra at skulle leve op til nogle af de krav, de skal i dag?

»Det er for tidligt at sige præcis, hvordan og hvor løs (lovgivningen skal være, red.), men jeg kan da sagtens se for mig, at nogle af rapporteringskravene måske bliver mindre for mindre virksomheder. Og så må der være nogle kloge jurister, der finder ud af, hvordan vi finder balancen og fastholder fokus på at beskytte persondata og samtidig beskytter vores virksomheder og personer.«

Caroline Stage Olsen opfordrer virksomheder og organisationer til at komme med gode idéer og input til, hvordan man fjerner de dele af GDPR, der hæmmer deres innovationsmuligheder, uden at gå på kompromis med datasikkerheden.

Spørger man Mads Nørgaard Madsen fra PwC, giver en risikobaseret tilgang til GDPR god mening.

»Hvis du betragter alt lige, ender du med at gøre opgaven umulig. Vi kan nå meget langt ved at gå over til en risikobaseret tilgang,« siger han.

Man kunne med fordel også kigge mod NIS2-direktivet, der regulerer virksomheder og myndigheder på cybersikkerhedsområdet, mener Mads Nørgaard Madsen.

Selvom NIS2 heller ikke er populært blandt virksomheder, fordi det er bøvlet, er direktivet lykkedes med at skubbe til virksomhederne og dermed løfte barren for cybersikkerhed.

GDPR er ikke på samme måde lykkedes med sit formål, mener partneren.

Forskellen mellem de to lovgivningers succes ligger ifølge partneren i, at NIS2 stiller specifikke og meget konkrete krav til virksomhederne – eksempelvis implementering af skadeforebyggende og begrænsende foranstaltninger – mens GDPR-reglerne er ressourcekrævende at forstå og præget af uigennemskuelighed.

»Vi skal selvfølgelig beskytte privatbrugerne. Vi skal også bare huske, at vi har brug for data for at kunne innovere, og i dag er der desværre for mange gråzoner,« siger Mads Nørgaard Madsen.

Tilbage i Digitaliseringsministeriet har Caroline Stage Olsen tænkt sig at italesætte behovet for en revidering af GDPR, når Danmark til juli overtager formandsskabet for EU’s ministerråd, og unionens konkurrenceevne på rådsmøder skal diskuteres.

Adspurgt om, hvor ministerens egen grænse går for, hvor meget man kan gå på kompromis med datasikkerhed og privatliv for at fremme virksomheders mulighed for at innovere, svarer hun:

»Jeg synes ikke, vi skal gå på kompromis med datasikkerhed. Vi skal finde den rigtige balance.«