get_queried_object(); $id = $cu->ID; ?>

GDPR feirer tre år. Er vi i rute?

Det er nå tre år siden GDPR begynte å gjelde i EU. Mye spennende har skjedd, og vi har enda mer i vente. Nå spør Europa seg selv: Var GDPR riktig medisin?

GDPR, eller personvernforordningen som det heter på norsk, trådte egentlig i kraft i EU den 24. mai 2016. Det var imidlertid først fra 25. mai 2018 at alle virksomheter i EU måtte følge reglene og tilsynsmyndighetene kunne begynne håndhevingen. Allerede den første dagen kom det flere klager mot de store tek-selskapene fra personvernorganisasjoner, og mange så frem til å få bukt med et uoversiktlig Internett og aktører som bruker data etter eget forgodtbefinnende.

De siste tre årene har vi sett europeiske tilsynsmyndigheter brette opp ermene. Ifølge Politico har datatilsynene delt ut rundt 2,9 milliarder kroner i overtredelsesgebyrer under GDPR. Manglende behandlingsgrunnlag og informasjonssikkerhet er gjengangere. Bøtene er imidlertid bare toppen av isfjellet av endringer: Norske og europeiske virksomheter har gjennomgått data, systemer og rutiner. De har ansatt dyktige personverneksperter som hver dag sørger for at dataene våre tas vare på.

Hva hjelper imidlertid det når selskaper som Google og Facebook tilsynelatende fortsetter som før?

Ikke i mål ennå

Mange i Europa begynner å bli utålmodige. Hva skjedde med klagene fra 25. mai 2018? Hvorfor blir jeg fremdeles fotfulgt av reklame for alle pinlige produkter jeg har googlet? Hvem kan gi meg en oversikt over hvor dataene mine har havnet? Selv norske myndigheter har argumentert for at deres foreslåtte tiltak ikke er så farlige når nordmenn gir fra seg data til amerikanske selskaper daglig.

Selv om mye har blitt bedre, er mange skuffet over at vi ikke har kommet lenger. Stadig flere tar nå til orde for at GDPR må revideres og at vi trenger et eget EU-datatilsyn for de store selskapene.

Det er flere grunner til at vi ikke er i mål:

  • Mange land har kompliserte prosessregler som langt på vei favoriserer virksomhetene, og virksomhetene har store budsjetter til advokathjelp. Det betyr at selv småfeil i saksgangen kan føre til at datatilsynenes vedtak blir opphevet av domstolene. Derfor tar håndheving i land som Irland veldig lang tid – og de fleste tek-gigantene har europeisk hovedkontor nettopp i Irland.
  • Mange europeiske datatilsyn er underfinansierte. For å kunne opprettholde en høy europeisk standard, må alle tilsynsmyndigheter ha tilstrekkelige ressurser til å kunne håndheve loven effektivt.
  • Alle virksomheter behandler data, men tilsynsmyndighetene kan ikke være overalt samtidig. Å skape endring i en bransje krever ofte målrettet arbeid over en lengre periode.
  • GDPR er ment å være tidløs og teknologinøytral. For å få til dette er reglene vagt utformet, noe som kan by på tolkningsproblemer. Gjennom Det europeiske Personvernrådet (EDPB) har imidlertid vi datatilsynene et forum for å bli enige om reglene skal forstås og hvordan vi kan jobbe sammen best mulig.

Vi tror på GDPR

Håndheving er komplisert. Endring tar tid. GDPR handler om å legge stein på stein, og vi er godt i gang.

Da jeg begynte i Datatilsynet i 2015, hadde vi ikke GDPR. Vi hadde i stedet en lov som mange ikke kjente til eller brydde seg særlig om. Nå har personvern et helt annet fokus enn før, og virksomheter har gjennomført imponerende endringer og opptrer stadig mer ansvarlig. Datatilsynet og våre søsterorganer begynner å bli ordentlig varme i trøya, og vi vet at det er flere spennende, internasjonale tilsynssaker under oppseiling. Vi fortsetter å gjøre fremskritt, selv om det kan ta litt tid og selv om mange av endringene kanskje ikke alltid er like lette å få øye på.

Å endre GDPR ville vært et sjansespill. Det tok fire år for EU å bli enig om lovteksten i GDPR, og dersom GDPR skulle reforhandles i dag, kunne det gjerne tatt lenger tid. Vi ser et stemningsskifte i EU der mange ønsker seg et lavere beskyttelsesnivå for personopplysningene våre. Så lenge GDPR står, vet vi imidlertid at slike krefter ikke vil lykkes med det første.

Det er også viktig å huske på at GDPR gir et lite, norsk datatilsyn store påvirkningsmuligheter. Vi kan si vår mening når andre land behandler saker mot globale aktører, og noen ganger kan vi gå rett på aktørene selv, slik vi har gjort i Grindr– og Disqus-sakene. Datatilsynet deltar aktivt som rådsmedlem i EDPB, og vi blir lyttet til.

Mange liker superlim fordi det tørker fort, og resultatet ser fint ut. Ville du brukt superlim til å bygge et hus? Sannsynligvis ikke. Huset skal stå lenge og romme mye, og vi er ganske avhengige av at taket ikke faller ned. Da er det verdt å bruke ordentlige verktøy, selv om det kanskje tar en stund. Vi skal ikke lime en hank på en kopp, men bygge et verdigrunnlag for fremtidens økonomi, innovasjon, forvaltning og samfunnsliv.

Vi har det beste foran oss.

Testing for dummies

Første gang jeg fikk spørsmål om å snakke for det vi litt upresist kan kalle testmiljøet, måtte jeg tenke meg grundig om. Jeg takket selvsagt ja, men jeg grunnet på hva i all verden jeg skulle si. Min første refleksjon var at testing var mindre utfordrende enn vanlig...

les mer

En trygg digital oppvekst

Dette innlegget ble holdt på oppstartsmøtet til Barne- og familiedepartementets strategi for trygg digital oppvekst 13. april 2021 En trygg digital oppvekst har vært en viktig satsing for Datatilsynet i mange år. Vi var initiativtaker og er fortsatt aktiv deltager i...

les mer

Jeg – en personvernets paternalist

Dette innlegget står på trykk i Morgenbladet 16. april 2021, og er et svar til Kyrre Wathnes kommentar «Personvernentusiastene må tøyles» i samme avis 9. april. Den 9. april fyrer gründer og evolusjonspsykolog Kyrre Wathne av en bredside mot personvernet. Det er...

les mer

Kredittvurderinger til besvær

Datatilsynet har den siste tiden ilagt og varslet flere overtredelsesgebyrer for ulovlige kredittvurderinger. Ulovlige kredittvurderinger kan få store økonomiske konsekvenser, og gebyrene varierer i størrelsesordenen 100 000 kroner til 1 000 000,...

les mer

Glemmeboken som forsvant

Da jeg gikk på barne- og ungdomskolen, ja på videregående med, både sa og gjorde mine medelever og jeg ukloke, merkelige og dumme ting. For eksempel var «bråtabrann» nærmest en tradisjon hver vår, en tradisjon som nesten satt fyr på skolen. Det var slåsskamper,...

les mer

To see or not to see?

Pandemisituasjonen i Norge og verden har med sjumilssteg tvunget fram en evolusjon som har forvandlet oss til digitale samfunnsdeltakere. Møter med mennesker utenfor den nærmeste familien skjer i stor grad i et blålig lys via kamera og skjerm. Mange av oss har slutta...

les mer

Foreldrenes rolle i barnas digitale liv

Dette innlegget ble hold på NorSIS (Norsk senter for informasjonssikring) sin markering av Safer Internet Day 2021: Takk for at jeg fikk muligheten til å snakke om foreldrenes rolle som digitale grensesetter og støttespiller. Det jeg kan om dette er todelt. Jeg kan...

les mer

Algoritmer, tillit og sandkasser

Mot slutten av 1800-tallet i USA undersøkte kjemikeren Harvey Wiley innholdet i en rekke industrielt produserte matvarer. 90 prosent av honningkrukkene inneholdt ikke honning. Lønnesirup var stort sett ikke lønnesirup. Og syltetøy bestod, som de nevnte matvarene, også...

les mer

Siste kommentarer

    Arkiv

    Følg oss:

    Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

    E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.

    Loading