Det er i år fem år siden EUs General Data Protection Regulation (GDPR) trådte i kraft. Regelverket har hatt vidtrekkende effekter på både bedrifter og enkeltpersoner. Nå er det på tide å evaluere både de positive og negative konsekvensene – og veien videre.
GDPR har styrket personvernet, og vi har for eksempel fått rett til innsyn, rett til å bli glemt og rett til dataportabilitet. Samtidig har bedrifter et mer bevisst forhold til bruk, lagring og spredning av personopplysninger, noe som igjen har økt tilliten til digitale tjenester og bidratt til å skape et sikrere og mer transparent digitalt landskap.
Men alt er ikke rosenrødt. Det har blitt rettet kritikk mot at reguleringen er for komplisert og uklar, og implementering har krevd omfattende juridiske og tekniske ressurser. Dette har vært en stor belastning, spesielt for små og mellomstore bedrifter, og tatt ressurser bort fra andre viktige oppgaver. Det er likevel langt mer alvorlige konsekvenser som må belyses.
Kombinasjonen av uklare regler og trusler om store bøter hvis disse uklare reglene brytes, har hos mange ført til frykt for å dele data og for å ta i bruk ny teknologi. Dette har ført til utsettelse og kansellering av samfunnskritiske digitaliseringsprosjekter, ikke bare i Norge, men i hele Europa.
Et område vi har sett dette på, er i helsesektoren. Både forskning og innovasjon er berørt, og dette kan ha forsinket viktige gjennombrudd for å bekjempe sykdommer og forsinket innføring av systemer som skulle bedre ressursbruk og pasientbehandling.
En annen konsekvens er paradoksalt nok svekket personvern og datasikkerhet. Frykten for enorme bøter for ikke å oppfylle uklare GDPR-regler har ført til at organisasjoner har utsatt eller stoppet migrering til skybaserte løsninger. Dette til tross for at disse løsningene ofte er langt sikrere og mer robuste enn eksisterende løsninger.
GDPR kan indirekte har ført til at sensitive personopplysninger til et stort antall norske borgere er under kriminelle og fiendtlige staters kontroll etter en rekke vellykkede dataangrep på norske institusjoner og selskaper. Tidligere i år spurte jeg en IT-sjef i et norsk sykehus hva som ville være det viktigste vi kunne gjøre for ham? «Få politikere og ledelsen til å forstå at det er langt større risiko for brudd på datasikkerhet og personvern ved å fortsette med dagens systemer enn å innføre nye løsninger.»
Det er paradoksalt at rådgivende myndigheter har motstridende syn på tolkningen av personvernregelverket.
Det er også paradoksalt at rådgivende myndigheter som Datatilsynet og Digitaliseringsdirektoratet har motstridende syn på hvordan deler av dette regelverket skal tolkes, og dette har vært med på å forsterke problemet.
Vi står nå overfor en enda større reguleringsutfordring. Regulering av kunstig intelligens (KI). Klarer vi å ta med oss de positive erfaringene fra GDPR, men samtidig unngå de negative konsekvensene GDPR har hatt?
Etter fem år med GDPR er det viktig å anerkjenne både de positive og negative sidene av innføringen. Reguleringen har bidratt til å styrke personvernet, men har også kommet med store kostnader. Kontroll over egne persondata er viktig, men det er også avgjørende å finne løsninger på fundamentale utfordringer innen klima, energi og helse før det er for sent.
Vi trenger derfor en konstruktiv dialog mellom politikere, regulatører, akademia og næringslivet når fremtidens personvernpolitikk og ny regulering av KI skal utformes. Større usikkerhet og mer krevende oppgaver krever et enda tettere samarbeid.
—
Innlegget er signert IKT-Norges administrerende direktør Øyvind Husby, og ble først publisert hos digi.no