Prisen for at leve op til kravene i EU’s GDPR-lov er endt med at blive en urimelig omkostning for virksomhederne.
Der er derfor brug for at gentænke implementeringen af loven.
Den samlede regning, for at den danske it-branche løbende lever op til kravene i persondataforordningen, lyder på 319 mio. kr. om året. Det viser en ny rundspørge foretaget af IT-Branchen blandt danske it-virksomheder.
Det er 27,6% mere end hvad it-leverandørerne havde frygtet i årlige omkostninger, som de havde håbet ikke oversteg 250 mio. kr.
”Tankerne bag persondataforordningen er helt rigtige, men selve implementeringen er endt med at være et ekstremt dyrt compliance-monster, hvor det mere handler om skemaer og overforsigtighed i stedet for reel persondatahjælp til virksomheder og myndigheder,” siger Natasha Friis Saxberg, adm. direktør i IT-Branchen.
Tallene fra branchen viser, at især de små it-virksomheder har store ekstra årlige omkostninger for at kunne leve op til GDPR-kravene.
F.eks. koster det årligt 10.000 kr. i gennemsnit per medarbejder at overholde kravene for virksomheder med 1-9 ansatte. For virksomheder med 10-24 ansatte koster det årligt 6.000 kr. per medarbejder, og for virksomheder med mere end 25 ansatte er den årlige omkostning for at overholde GDPR-kravene i gennemsnit 3.000 kr. per medarbejder.
Implementeringen skal gentænkes
Da persondataforordningen skulle implementeres i 2018, var Danmark vanen tro helt i front mht. både fortolkning og implementering af EU’s ønsker om styrket databeskyttelse.
”Ambitionsniveauet var højt, og kanonerne blev hurtigt kørt i stilling for at vise, at man fra myndighedernes side tog forordningen seriøst og ikke var nervøs for at give den en ekstra skalle – både mht. fortolkning, kontrol og bøder. Men selvom intentionerne var gode, så er det altså endt med at blive en stor økonomisk byrde for virksomhederne,” udtaler Natasha Friis Saxberg.
IT-Branchens foreslår derfor, at Datatilsynets rolle ændres til at blive mere rådgivende, vejledende og godkendende. Bl.a. bør virksomhederne kunne sende deres datasetup og compliance processer ind og få dem forhåndsgodkendt af Datatilsynet.
”Det handler om at klæde danske virksomheder og myndigheder på til korrekt dataanvendelse. Derfor er der brug for at styrke datatilsynet – både med flere ressourcer, men også med flere muligheder, der kan give dem en mere proaktiv og vejledende rolle fremover,” slutter Natasha Friis Saxberg.