Er GDPR problemet?

9. maj 2025

Er det virkelig GDPR, der er problemet?

Der er aktuelt en debat om at forenkle GDPR-reglerne, hvilket vi hos Lexoforms hilser velkomment. Det er dog afgørende, at der bliver sat fokus på de reelle udfordringer – og ikke kun på dem, der ved første øjekast måske ser ud til at være problemet.

Det er ikke nødvendigvis kun GDPR-reglerne, der i sig selv er problemet. Siden 2018 har vi hjulpet små og mellemstore virksomheder, organisationer og foreninger med at få styr på GDPR, og med mere end 1800 virksomheder på kundelisten, mere end 1500 deltagere på over 100 webinarer og over 750 deltagere på mere end 80 workshops er det vores erfaring, at reglerne faktisk fungerer fint for langt de fleste. For når man forstår, hvad der ligger bag reglerne, og hvad de kræver, så bliver det mere åbenlyst, hvorfor arbejdet med GDPR er vigtigt. Og giver mening.

Uvidenhed og overimplementering

I vores øjne er problemet derfor ikke reglerne i sig selv, men implementeringen af dem. For GDPR er stadig præget af stor uvidenhed baseret på en lang række fordomme, myter og misforståelser. Det skaber usikkerhed om, hvordan reglerne skal implementeres i praksis.

Usikkerheden gør, at mange virksomheder enten overimplementerer reglerne, eller endnu værre – slet ikke forholder sig til dem. For er der noget, man ikke forstår, opstår der let modvilje, og så er det meget lettere at følge dem, der siger, at GDPR udelukkende er en hæmsko, og dermed droppe det helt.

Manglende forståelse

Dette underbygges af en anden udfordring, vi ofte møder. Nemlig en manglende grundlæggende forståelse for, at GDPR og beskyttelse af persondata faktisk er vigtigt – også for den lille butik. Helt basalt handler det om, hvordan man ønsker at drive forretning.

Vil man gerne optræde professionelt, skal man også have styr på sine data – ikke mindst persondata. For det giver på alle måder mening at have overblik over, hvor og hvordan man indsamler, behandler og opbevarer data. Selv basale persondata, som kombineres med en virksomhed, kan skabe en ”dårlig cocktail” hvis de deles med den forkerte tredjemand.

GDPR er en menneskeret

GDPR blev ikke opfundet for at bremse innovation, hindre digitalisering eller overadministrere. Det blev skabt for at beskytte vores rettigheder, herunder retten til privatliv, selvbestemmelse og tryghed. Derfor er det ikke bare en administrativ forpligtelse – det er en menneskeret. Og derfor skal reglerne være en naturlig del af det at drive forretning.

Men de skal være proportionale!

Derfor giver det mening at kigge på, hvordan vi kan gøre reglerne mere forståelige og operationelle uden at gå på kompromis med databeskyttelse og folks rettigheder. Desuden bør kravene differentieres ift. virksomhedstype og risikoniveau, så de bedre matcher den enkelte virksomheds virkelighed og bliver mere overkommelige. Ikke mindst for SMV’er så en selvstændig tømrermester ikke skal leve op til de samme krav som et stort advokathus eller en kommune.

Præcis ligesom der er forskellige krav til indholdet af årsrapporten afhængig af, hvilken regnskabsklasse virksomheden tilhører. Der er forskel på, hvad en soloselvstændig og en børsnoteret virksomhed skal inkludere i regnskabet – men alle virksomheder skal lave regnskab.

Mere enkelt og mere ambitiøst

Vi oplever allerede i dag, at mange SMV’er, foreninger og organisationer går kold i forståelsen af reglerne, og derfor lukker øjnene for dem. Det gavner ingen. Derfor er det efter vores mening mere forståelsen for implementeringen af reglerne, der skal i fokus, end selve regelsættet. Bliver det lettere at forstå, bliver det også lettere at arbejde med GDPR. Dermed vil flere se fordelene, og naturligt få det indarbejdet i den løbende drift – uden at bruge unødigt mange ressourcer på det!

Så lad os hæve det samlede bundniveau – ikke bare i Danmark, men i hele EU. Vi ser hellere, at de mange forholder sig pragmatisk til GDPR og gør det, der er nødvendigt, end at de få lykkes med at gennemføre en 100% dækkende og meget omfattende dokumentation. For det er i lige så høj grad selve processen med at forholde sig til sin indsamling, brug og opbevaring af persondata, der er vigtig for forståelsen – samt muligheden for og viljen til at holde denne dokumentation vedlige.

Sund fornuft og sund balance

Derfor bør alle virksomheder, uanset størrelse, som minimum have et overblik over deres it-systemer og hvilke typer persondata, der opbevares deri – samt hvem de evt. videregives til. Ligeledes bør alle have et overblik over de basale sikkerhedsforanstaltninger, de har etableret for at beskytte persondata. Og have opsat rutiner for at slette de persondata, der ikke længere er noget formål med at opbevare.

I en tid, hvor den digitale kriminalitet vokser, giver det god mening at passe på hinandens data. Ellers risikerer vi at sætte hinandens persondata i en unødig udsat situation. En situation hvor private risikerer at miste både penge og identitet, og virksomheder i værste fald risikerer hele deres forretning.

GDPR skal ikke hæmme vores konkurrenceevne – det skal styrke den

Derfor bør vi fokusere på at gøre det lettere at forstå, arbejde med og tilpasse GDPR-kravene til den enkeltes virkelighed. Ikke mindst i praksis. For vi ønsker en digital fremtid, hvor digital innovation og tryghed går hånd i hånd. For det ene udelukker absolut ikke det andet – og de virksomheder, der kan garantere begge dele, tilhører morgendagens vindere.

Vi bør ikke opfatte GDPR som en klods om benet – men som et kompas, der kan hjælpe med at navigere i en stadig mere kompleks og digital virkelighed.