Sedan GDPR trädde i kraft i maj 2018 har internetsurfandet inneburit än mer av popup-rutor och ständiga medgivanden. Dessutom har vissa tjänster, såsom nummerupplysning, tappat stora delar av sin funktion och i flera fall har till och med skolfotograferingar ställts in med hänvisning till GDPR. Detta var sannolikt inte intentionen hos lagstiftarna – har alla dessa tilltag och åtgärder verkligen varit nödvändiga?
– Vi ser att det finns många exempel på där balansgången tippat över åt fel håll, där organisationer hellre valt en strängare tolkning av GDPR än vad som egentligen krävs, och då man tycker sig sakna en bra lösning för såväl sig själva som för slutanvändarna, säger Håkan Cavenius som är projektledare för det Vinnova-finansierade projektet Sjyst Data!.
Projektet, som pågått sedan 2017, har bland annat undersökt hur användare och företag påverkats och anpassat sig efter GDPR, och hur lagen bäst ska appliceras och förstås.
Missuppfattning och felaktigheter
Datainsamling sker näst intill överallt och i princip hela tiden. Stora datamängder av hög kvalitet är avgörande för landvinningar och innovationer inom flera områden. Med ständigt ökande datamängder ställs också högre krav på säkerheten och integriteten. Om organisationer saknar tillräcklig kompetens om dataskydd finns det en risk att skyddet blir bristfälligt, men Håkan Cavenius ser också ett motsatt problem – att företag och myndigheter avstår från att utveckla nya och förbättrade tjänster på grund av lagstiftningen.
– Vi ser att det råder stora missuppfattningar om vad GDPR egentligen kräver, bland annat att det skulle vara helt förbjudet att behandla personuppgifter, eller att samtycke alltid är den lämpligaste grunden för insamling. Det finns en risk att detta synsätt blir en bromskloss för innovation i den datadrivna ekonomin. Det var knappast lagstiftarnas intention att försämra digitala tjänster i och med lagstiftningen – snarare att genom stärkt dataskydd bidra till bättre tjänster samt högre tillit.
Det finns alltjämt ett stort behov av kunskap och ett intresse för frågor rörande GDPR
Användare generellt kritiska till datainsamling
Men när man frågar användarna är de flesta negativt inställda till insamling av användardata, i synnerhet om den samlas in av kommersiella aktörer. Detta är problematiskt, eftersom det finns enorm potential för nya och förbättrade tjänster baserade på användargenererade data. Håkan Cavenius ser ökad transparens hos företagen som en möjlig lösning, men också att dataskydd och GDPR integreras redan i designfasen av en tjänst, för att öka förtroendet hos användarna.
– Vi har i projektet tittat på något som heter ”legal design”, där man integrerar juridiken på ett mer användaranpassat sätt redan från start i utvecklandet av en tjänst. Detta skulle kunna bidra till att integrera dataskydd i tjänster på ett bättre sätt än idag, och på sikt öka användarnas tillit, vilket i slutändan sannolikt även gynnar en seriös tjänsteleverantör.
Möjliga vägar framåt för projektet
Projektet har tittat på möjligheterna att ta fram en certifiering som företag kan använda sig av, där man genom att följa vissa riktlinjer och rutiner, kan få använda sig av en märkning eller sigill. Detta skulle kunna bidra till att vägleda konsumenter i sitt användande av digitala tjänster. Man tittar också andra möjligheter för att utveckla projektet och deltagande aktörer, däribland ett dataskyddslabb.
– Trots att det kan kännas som att införandet av GDPR varit nästintill en plåga för många företag och organisationer så finns det alltjämt ett stort behov av kunskap och ett intresse för frågor rörande GDPR och dataskydd, och det kommer fortsatt vara av stor vikt för samhällsutvecklingen. Vi ser också ett fortsatt behov av tydligare riktlinjer, bättre stöd för företagen och ökad transparens kring datainsamling från företagens sida, avslutar Håkan Cavenius.