GDPR er…pseudoarbejde

Du hader muligvis Databeskyttelsesforordningen (GDPR) af et godt hjerte. I så fald læser du sikkert med nu, fordi artiklens overskrift får dig til at gnide dig i hænderne i sikker forventning om, at nu kommer afsløringen, du har ventet på: At hele GDPR-hysteriet helt og aldeles har været et totalt nytteløst spild af tid. Kort sagt – pseudoarbejde.

Tilmed fortalt af en GDPR-konsulent, der tilsyneladende vender sin branche ryggen for at få aflad for sine synder.

I så fald må jeg skuffe dig. Databeskyttelsesforordningen giver for mig at se faktisk rigtig god mening. Derfor kan der sagtens være masser af ting omkring GDPR, hvilke slet ikke giver mening. Og som derfor kan karakteriseres som pseudoarbejde.

Ud af de 8 milliarder, som Dansk Erhverv i foråret 2018 vurderede, det kostede danske virksomheder at implementere GDPR, er helt sikkert en alt for stor del, som der intet er kommet noget godt ud af. I nogle tilfælde det modsatte. Derfor ville en mere retvisende overskrift til denne artikel være ”GDPR er nogle gange pseudoarbejde”. Hvad man dog ikke gør for at lokke læsere til…

Denne artikel beskriver noget af det pseudoarbejde, som jeg er stødt på, siden jeg blev selvstændig GDPR-konsulent i 2017. Men først en kort definition af begrebet pseudoarbejde.#REKLAMEPLADS#

Bogen Pseudoarbejde

Inspirationen til denne artikel har jeg fået fra bogen Pseudoarbejde skrevet af Dennis Nørmark og Anders Fogh Jensen, hvilken tidligere er blevet beskrevet her på Kforum. En i mine øjne klart anbefalelsesværdig – og provokerende – bog, der giver stof til eftertanke over vores til tider meningsløse arbejdsliv.

I april interviewede Kforum antropolog Dennis Nørmark og filosof Anders Fogh Jensen, forfatterne bag bogen Pseudoarbejde, og her taler de om, hvordan man som leder undgår pseudoarbejdet.

I bogen beskrives to slags pseudoarbejde. Den ene er det fænomen, at en person ikke har ret meget at lave på sit arbejde, og som derfor hele tiden sørger for at se travl ud.

Den anden slags pseudoarbejde er det arbejde, som reelt er værdi- og meningsløst. Og nogle gange gør alting værre. Det er netop denne slags pseudoarbejde, som – i samspil med GDPR – er omdrejningspunktet i denne artikel.

Når ”meget” er pseudo

En tendens, jeg har oplevet som GDPR-konsulent, har været unødigt lange tekster. Fx er jeg, når jeg er blevet bedt om at kigge organisationers dokumentation igennem, gang på gang stødt på tekster, som er blevet ramt af volumensyge.

Et helt konkret eksempel er i forbindelse med fortegnelser over behandlingsaktiviteterne, hvilket kræver en kort forklaring: Det er et krav i forordningen, at Datatilsynet på forlangende kan bede om udlevering af disse fortegnelser, som er skriftlige besvarelser på en række spørgsmål. En behandlingsaktivitet er en konkret behandling af persondata, fx lønudbetaling.

I en organisation kan der hurtigt være rigtig mange af sådanne behandlingsaktiviteter, så derfor må man gerne samle flere behandlingsaktiviteter i en og samme fortegnelse, hvis de vel at mærke tjener samme formål.

Det kunne fx være i forbindelse med personaleadministration.

GDPR – er det ikke noget med bare at printe en privatlivspolitik på 100 sider, så har vi vores på det rene? Det korte svar er nej. Less is more, når det kommer til GDPR, og du bliver nødt til at gå til det med åbne øjne. Foto: H. Armstrong Roberts/Gettyimages

I et af spørgsmålene i fortegnelsen skal man svare på, hvad formålet med behandlingsaktiviteterne samlet set er. Og lad os nu bare sige, at det netop er personaleadministration, så er det åbenbart en yndet disciplin at skrive en længere rapport om formålet. Stolpe op – stolpe ned. Bla, bla, bla.

Men det er ofte slet ikke nødvendigt. Datatilsynet har fx lavet en vejledning vedrørende fortegnelser, hvor der er et eksempel, som netop tager udgangspunkt i personaleadministration. Og hvad har de så svaret på spørgsmålet om formål?

Et eneste ord: personaleadministration.

Bum!

Det er bare et lille eksempel på, hvor noget kunne være gjort mere simpelt.

Og der er masser af andre eksempler, som fx medarbejderinstrukser, der er gjort så lange og detaljerede, at forfatteren dermed har sikret sig, at de næppe bliver læst. Nogensinde. Og sådan kunne jeg blive ved.

Pseudodokumentation

”Kan du ikke lige skrive nogle dokumenter til os, så vi overholder GDPR?” Det spørgsmål har jeg fået mere end en gang. Fra organisationer, som liiige skulle have det der GDPR fikset. Som var det en vidundercreme, der – vupti – kunne fjerne den irriterende compliance-hæmoride, som fik chefen til at sidde lidt uroligt i stolen.

En af de få nyskabelser i forbindelse med Databeskyttelsesforordningen – set i forhold til den gamle persondatalov – var, at organisationer pr. 25. maj 2018 har skullet dokumentere behandlingen af personoplysninger. Dokumentationen skal derfor ses som et middel – ikke et mål i sig selv.

En vigtig del af GDPR er også at slette personlige oplysninger igen. Det kan du gøre endnu hurtigere med denne tunede makulator.

Derfor er det pseudoarbejde, hvis du arbejder i en organisation, som stolt vifter med diverse GDPR-dokumenter, uden at de angivne slettefrister rent faktisk bliver overholdt – nu eller i fremtiden.

Det er ligeledes pseudoarbejde, hvis diverse medarbejderinstrukser ikke er masseret godt og grundigt ind i den pågældende virksomheds arbejdskultur. Det afgørende er set med GDPR-brillerne på, at medarbejderne løbende – og meget gerne med humor og stor pædagogik – bliver mindet om vigtigheden af at passe på persondata.

Ikke på grund af bøderisiko, men fordi persondata er noget, man har til låns. Og noget man derfor moralsk er forpligtet til at passe på.

Og så bør jeg naturligvis også lige nævne vigtigheden af, at diverse it-systemer rent faktisk kan slette data, sikre rettighedsstyring osv. Kort sagt: Formålet med GDPR er bl.a. at undgå, at persondata bliver kompromitteret. Det skal dokumentationen gerne hjælpe til med, fordi det tvinger til refleksion. Men dokumentation løser ikke problemerne.

Det er den praktiske udførelse i hverdagen, som tæller i den sidste ende. Ellers fremstår dokumentationen blot som et pseudo-figenblad den dag, Datatilsynet banker på, fordi den nyuddannede kommunikationskonsulent, som ikke var klædt på til at behandle persondata, ved et uheld har kompromitteret 8.000 em-ails af følsom karakter.

Pseudolivspolitikken

Jeg har kendskab til en virksomhed, som fik udarbejdet en privatlivspolitik med udgangspunkt i Datatilsynets vejledning. Privatlivspolitikken blev herefter sendt ud til virksomhedens datterselskab i Tyskland.

Tyskerne var dog ikke så imponerede af det, de modtog fra deres danske moderselskab. Måske ikke så overraskende, da tyskerne er kendt for en større tradition – og nidkærhed, når det gælder håndtering af persondata, end fx Danmark. Så de hyrede en advokat til at udarbejde deres helt egen privatlivspolitik. Resultatet blev en privatlivspolitik med næsten tre gange så mange ord.

Fedt, ik'? For det ser jo superoverbevisende ud med et omfattende dokument. Mine tyskkundskaber er desværre ikke gode nok til at vurdere den pædagogiske fremstilling.

Men hvis tyske advokater har samme tendens til indforstået jurajargon, som danske jurister ofte har, så gemmer der sig sikkert en del fortyskede udgaver af advokatklassikere som fx ”For så vidt angår”, ”Iagttagelse af...”, ”lovhjemmel”, ”jævnfør” osv.

Din fint udarbejdede privatlivspolitik skal også være forståelig for dem, det drejer sig om. Foto: ERIK S. LESSER/Ritzau Scanpix

Men det grandiose kan være et problem i sig selv: Det er nemlig et krav, at oplysningerne til den registrerede skal være formuleret tydeligt, kortfattet og på en letforståelig måde, som der står i Datatilsynets vejledning på området. Sagt med andre ord: Keep it simple, stupid!

Drop derfor strategien med at lave en privatlivspolitik, som skal ”se ud af noget”. Og nej, det er ikke nødvendigvis et 100 % kvalitetsstempel, at en advokat har udarbejdet den – for det er i høj grad en kommunikationsopgave at formidle kedeligt stof på en enkel og letforståelig måde.

Pseudomod

Jura er langt fra altid enkelt, og derfor er det heller ikke altid muligt at give enkle svar. Derfor risikerer man ofte svar, som er nørklede, knudrede og vage – og nærmest ligegyldige.

Det er mit indtryk, at udfordringen med juridisk tågesnak har været særlig udpræget i forhold til GDPR, fordi der er tale om en ny – og ret kompliceret – forordning. Den er langt hen ad vejen identisk med den gamle persondatalov, men tavlen er alligevel visket ren, så gamle afgørelser ikke længere er relevante. Samtidig har det store fokus på bøder afstedkommet et hysteri uden lige.

Sidst, men ikke mindst er der blevet skrevet og sagt utroligt mange forkerte ting om GDPR, som til tider har gjort forvirringen total.

Resultatet har i min optik været, at det virkelig har skortet på mod i rigtig meget GDPR-rådgivning. Mod til at tage en standpunktsrisiko, som juristerne kalder det. Det vil sige et ja eller nej til at gøre tingene på en bestemt måde, så GDPR bliver overholdt. Og når man endelig har fået et ja til en bestemt handling, så har det ofte været med den laveste fællesnævner.

Det vil sige et ja til den løsning, som juridisk var mest sikker, men som ofte har afstedkommet et administrativt mareridt. Af dimensioner.

Som GDPR-rådgiver kan man risikere at yde juridisk rådgivning, som viser sig at være forkert. Og det er jo ikke så godt. Men hvis man er alt for forsigtig og defensiv, så er der er en lige så stor, måske større, risiko for, at man yder rådgivning, som skaber administrativt pseudoarbejde i et omfang, man næste ikke kan fatte. Og som er ude af proportioner i forhold til beskyttelsen af persondata.

Pseudosamtykke

Et sted, hvor man ofte oplever mangel på mod, med pseudoarbejde til følge, er i (mis)brugen af samtykker. For at behandle persondata, hvad enten det er almindelige, følsomme eller fortrolige, så skal man altid have en juridisk gyldig grund. Og en af dem er et samtykke.

Men der findes også en række andre gyldige grunde.

Men der er mange, som har kastet deres kærlighed på samtykke. Måske fordi det lyder så nemt – ”Jamen, du skal bare bede om et samtykke, så er alt jo fint”. Og jo, det er måske også tilfældet set ud fra en juridisk betragtning. Men så lad os igen sige velkommen til virkeligheden. Og i virkeligheden er et samtykke ikke altid at foretrække.

For det første skal man sikre sig, at det er indhentet korrekt, at det kan trækkes tilbage, og så skal samtykket dokumenteres.

Resultaterne findes overalt. Fx rejsebureauet, som beder deres erhvervskunder om at indhente samtykke fra ansatte i forbindelse med rejser. Firmaets HR-ansvarlige, som beder om samtykke i forbindelse med årets julefrokost, fordi du har glutenallergi. Arrangøren, som beder om samtykke for at behandle din konferencetilmelding. Sportsklubben, som beder om samtykke for at bringe et harmløst situationsbillede på foreningens hjemmeside.

Listen er nærmest uendelig.

Hvis du bliver mødt af samtykkeriet, så vær kritisk. Spørg, om der mon ikke kunne være andre gyldige grunde til at behandle X-persondata. Stik eventuelt snuden i forordningens artikel 6 (almindelige personoplysninger), artikel 9 (følsomme oplysninger) eller databeskyttelseslovens § 11.

Ja, bevares, det lyder stangkedeligt, men så vidt vides, er endnu ingen – ej heller kommunikationsfolk – døde af at nærstudere et par paragraffer. Til gengæld finder du måske en gyldig grund, du kan smide i hovedet på husjuristen/-rådgiveren, som så kan svare på, hvorfor den alligevel ikke dur. Eller hvorfor den måske gør, men at det er forbundet med en vis risiko at benytte den.

Så kan I jo afveje risikoen i forhold til det ekstraarbejde brugen af samtykke vil medføre.

Husk, at jura langt fra er en eksakt videnskab, men at evnen til at vurdere, overbevise og argumentere er mindst lige så vigtig som evnen til at kunne huske selve lovgivningen.

Så giv dem for guds skyld modstand – de kan tåle det.

Young man! Er du ved at gå helt kold over al den her GDPR-snak? Så hør lige denne her sang, og kom i bedre humør.

GDPR er ikke pseudo – men fortolkningen er

Jeg startede med at plædere for, at GDPR ikke i sig selv er en pseudolovgivning. Men implementeringen – og dermed fortolkningen – har i alt for stor grad resulteret i pseudoarbejde. Og jeg skal bestemt heller ikke sige mig fri for selv at have afstedkommet pseudoarbejde i et eller andet omfang. Undskyld. Så lad mig slutte af med nogle gode råd til at holde GDPR-pseudoarbejdet nede:

Brug din kritiske sans. Du har sandsynligvis brugt en til to håndfulde år på at tage en uddannelse, hvor netop den kritiske sans var i træningstøjet. Måske den er blevet sløv som årene i selskab med en Nike-chef (Just do it!). Er det tilfældet, så er det på med træningstøjet igen.
Brug din sunde fornuft. Den kritiske sans' bror.
Indse, at der altid vil ske fejl. Nogle gange kan forsøget på at opnå nulfejlskultur resultere i et procedurehelvede, som måske øger risikoen for fejl. Paradoksalt nok.
En dyb indånding. Panikhandlinger fører sjældent noget godt med sig. Hold hesten – og hør rundt omkring i netværket, hvordan andre har håndteret en given problematik, inden du udløser en katastrofe.

Fortsat god fornøjelse med GDPR – for uanset, om du kan lide det eller ej, så er den kommet for at blive. Det er med garanti ikke en pseudokonstatering.