Det här är felet med GDPR

Kanske kan man sammanfatta GDPR med ordning och reda på bekostnad av konkurrenskraft och innovation. Men det ena behöver inte utesluta det andra. Kompletteringar och fortsatt arbete behövs för att få en bra balans mellan integritetsskydd och framgångsrikt företagande.

I de större bolagen har ambitiösa implementeringsprojekt genomförts eftersom dataskyddsreglerna berör hela organisationen med krav på dokumentation, rutiner och privacy-by-design. Samverkan mellan ansvariga för regelefterlevnad, HR, it och säkerhetsfrågor har varit nödvändigt för att kunna uppfylla de omfattande kraven.

Många företag beskriver idag att de nått högre kvalitet i sin hantering av personuppgifter. Detta gäller inte minst hantering av de egna medarbetarnas uppgifter. Handeln och tjänsteföretagen ser värdefulla resultat då kundernas tillit stärkts genom ett regelverk som ökat transparensen av hur personuppgifter behandlas.

Samtidigt vittnar många företag om den tuffa utmaningen att klara ett vagt och detaljerat regelverk. Sanktionsavgifterna är enorma, så rätt måste det bli. Men få företag har tillgång till egna jurister och dataskyddskunniga it-leverantörer. Inte minst ombyggnaden av it-system har varit en svår och kostsam process. Vad ska uppnås och hur? Hur-frågan brottas fortfarande många små- och medelstora företag med. Och vad som ska uppnås är inte heller givet i en mängd situationer där vägledning och tolkning saknas eller fortfarande är mycket svår att förstå.

Internationella bolag uttrycker stor frustration vad gäller möjligheter att följa CSR-krav på visselblåsning och stävjande av grov brottslighet vid internationell handel. I Sverige får man endast visselblåsa på högre chefer, styrelse och ägare. Övriga anmälningar som lämnas i visselblåsarsystem får inte behandlas. Det kan handla om medarbetare, underleverantörer och kunder som tar emot eller vill ge mutor. För att erhålla exporttillstånd har USA krav på screening mot spärr- och sanktionslistor för att förhindra finansiering av grov brottslighet. Till skillnad från till exempel Nederländerna saknar Sverige en lag som tillåter detta obligatoriska led i ansökningsprocessen. Vissa andra länder har löst det genom bilaterala avtal med USA, men svenska företag är hänvisade till en osäker tillståndsprocess med lång handläggningstid hos Datainspektionen.

Europas företrädare har varit euforiska över GDPR:s bidrag till att skydda medborgarnas integritet. Så långt värdefullt och bra, men nu är det hög tid att analysera inverkan som vissa delar av regelverket har på innovation och internationell konkurrenskraft. Framförallt behöver Europa kunna skapa och använda ny teknik som avlastar en åldrande befolkning, skyddar företag och medborgare och effektiviserar infrastruktur, handel och produktion för att nå miljömålen. Företag och universitet behöver kunna forska fram och utveckla nya lösningar även där persondata behandlas. Här behövs kompletterande regler som tillåter innovation i stängda miljöer, så kallade regulatory sandboxes, på det vis som används i till exempel Estland, Storbritannien och Sydkorea.

GDPR har förbättrat personuppgiftsskyddet. Nu behöver Europa och Sverige kompletterande regler och riktlinjer för konkurrenskraft och innovation. Det ena behöver inte utesluta det andra, men det är hög tid att få till en bättre balans mellan skydd och utveckling.