GDPR

GDPR – en bittersøt femårsfeiring

Det er i år fem år siden EUs General Data Protection Regulation (GDPR) trådte i kraft. Regelverket har hatt vidtrekkende effekter på både bedrifter og enkeltpersoner. Nå er det på tide å evaluere både de positive og negative konsekvensene – og veien videre.

Øyvind Husby, administrerende direktør i IKT Norge, skriver at personverndirektivet GDPR har bidratt til å styrke personvernet, men også har kommet med store kostnader. Her er Husby avbildet under Attack-konferansen i høst.
Øyvind Husby, administrerende direktør i IKT Norge, skriver at personverndirektivet GDPR har bidratt til å styrke personvernet, men også har kommet med store kostnader. Her er Husby avbildet under Attack-konferansen i høst. Foto: Are Thunes Samsonsen
Øyvind Husby, administrerende direktør i IKT Norge
1. des. 2023 - 14:00

GDPR har styrket personvernet, og vi har for eksempel fått rett til innsyn, rett til å bli glemt og rett til dataportabilitet. Samtidig har bedrifter et mer bevisst forhold til bruk, lagring og spredning av personopplysninger, noe som igjen har økt tilliten til digitale tjenester og bidratt til å skape et sikrere og mer transparent digitalt landskap.

Men alt er ikke rosenrødt. Det har blitt rettet kritikk mot at reguleringen er for komplisert og uklar, og implementering har krevd omfattende juridiske og tekniske ressurser. Dette har vært en stor belastning, spesielt for små og mellomstore bedrifter, og tatt ressurser bort fra andre viktige oppgaver. Det er likevel langt mer alvorlige konsekvenser som må belyses.

Frykt for å dele data

Kombinasjonen av uklare regler og trusler om store bøter hvis disse uklare reglene brytes, har hos mange ført til frykt for å dele data og for å ta i bruk ny teknologi. Dette har ført til utsettelse og kansellering av samfunnskritiske digitaliseringsprosjekter, ikke bare i Norge, men i hele Europa.

Et område vi har sett dette på, er i helsesektoren. Både forskning og innovasjon er berørt, og dette kan ha forsinket viktige gjennombrudd for å bekjempe sykdommer og forsinket innføring av systemer som skulle bedre ressursbruk og pasientbehandling.

En annen konsekvens er paradoksalt nok svekket personvern og datasikkerhet. Frykten for enorme bøter for ikke å oppfylle uklare GDPR-regler har ført til at organisasjoner har utsatt eller stoppet migrering til skybaserte løsninger. Dette til tross for at disse løsningene ofte er langt sikrere og mer robuste enn eksisterende løsninger.

Kollasj bestående av portrettbilder av henholdsvis en kvinne og en mann.
Les også

Næringslivets bruk av KI er mer enn bare en kostnad

Større risiko å beholde dagens systemer

GDPR kan indirekte har ført til at sensitive personopplysninger til et stort antall norske borgere er under kriminelle og fiendtlige staters kontroll etter en rekke vellykkede dataangrep på norske institusjoner og selskaper. Tidligere i år spurte jeg en IT-sjef i et norsk sykehus hva som ville være det viktigste vi kunne gjøre for ham? «Få politikere og ledelsen til å forstå at det er langt større risiko for brudd på datasikkerhet og personvern ved å fortsette med dagens systemer enn å innføre nye løsninger.»

Det er også paradoksalt at rådgivende myndigheter som Datatilsynet og Digitaliseringsdirektoratet har motstridende syn på hvordan deler av dette regelverket skal tolkes, og dette har vært med på å forsterke problemet.

Vi står nå overfor en enda større reguleringsutfordring. Regulering av kunstig intelligens (KI). Klarer vi å ta med oss de positive erfaringene fra GDPR, men samtidig unngå de negative konsekvensene GDPR har hatt?

Store kostnader

Etter fem år med GDPR er det viktig å anerkjenne både de positive og negative sidene av innføringen. Reguleringen har bidratt til å styrke personvernet, men har også kommet med store kostnader. Kontroll over egne persondata er viktig, men det er også avgjørende å finne løsninger på fundamentale utfordringer innen klima, energi og helse før det er for sent.

Vi trenger derfor en konstruktiv dialog mellom politikere, regulatører, akademia og næringslivet når fremtidens personvernpolitikk og ny regulering av KI skal utformes. Større usikkerhet og mer krevende oppgaver krever et enda tettere samarbeid.

Direktør Lillian Røstad, professor Michael Riegler og forsker Mikkel Lepperød ved Simula Research Lab.
Les også

Sju tiltak for å sikre etisk og vitenskapelig ny KI

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.