Förbättra GDPR och höj konkurrenskraften

EU-domstolen i Luxemburg har beslutat att skyddet för den personliga integriteten väger tyngre än kampen mot penningtvätt. I en dom i förra veckan underkändes den öppna redovisningen av ”verkliga huvudmän” i bolag.

Uppdaterad: 1 december 2022, 09:53Publicerad: 30 november 2022, 19:30

Ledare:Tobias Wikström

Text

ADMINISTRATIV PÅLAGA. Den europeiska dataskyddslagstiftningen har ökat företagens redan tunga rapporteringsbörda. Därför måste svenska myndigheter bli tydligare med vad som begärs, och den svenska regeringen bör kräva förbättringar av lagstiftningen när den ska revideras 2024.Foto:IMY

Rapporteringen om verkliga huvudmän är till för att göra det tydligt vilka som har ett bestämmande inflytande över ett bolag. Bakgrunden är det EU-regelverk som brukar kallas femte penningtvättsdirektivet. Uppgifter om vem som äger aktier i ett privat aktiebolag finns annars inte i några register.

Man kan visserligen fundera på om rapporteringen av verkliga huvudmän är effektiv i alla lägen - den som vill tvätta kriminella pengar kan ju använda sig av målvakter både på styrelseposter och som aktieägare.

Uppgifterna om vem som styr ett bolag är hur som helst användbara för näringslivet generellt. Det är bra att veta vem man gör affärer med, det bygger förtroende och främjar affärer.

Nu är det alltså två centrala EU-lagstiftningar som krockar med varandra. En illustration av att politik inte alltid är lätt, men också en påminnelse om att nästan all lagstiftning bygger på en intresseavvägning. När man vill reglera något får det negativa konsekvenser i en annan ände. Man måste finna en balans. Det gäller miljöregler, rättighetslagar, ekonomisk politik – och också integritetsskyddet.

Det finns fler potentiella lagstiftningskrockar med EU:s dataskyddslag GDPR.

DAC6-direktivet, som tvingar exempelvis skatterådgivare att rapportera gränsöverskridande ekonomiska upplägg, är en sådan. Eller DAC7, som träder i kraft nästa år och som tvingar plattformsföretag som Uber och Airbnb att redovisa kunduppgifter. Under många år har EU-politiker agerat för att bolag ska rapportera offentligt om sina affärer i varje enskilt land. En svensk utredning överväger nu hur ett EU-direktiv om detta ska genomföras.

GDPR-reglerna borde visa tydligt för beslutsfattarna att det finns ett integritetsintresse, att det faktiskt inte är självklart att affärsuppgifter ska rapporteras kors och tvärs. Lagkrockarna behöver inte vara av ondo.

EU-rätten får sin form genom domstolsbeslut, det kan hända att fler lagstiftningskrockar kommer att inträffa.

GDPR är en omfattande lagstiftning. Den har tvingat företagen att skärskåda sin personuppgiftshantering och slentrianmässig informationsinsamling har tagits bort. Den nya möjligheten att kunna få sina personuppgifter raderade är viktig. Men GDPR rör så stora delar av företagens verksamhet att den tenderar att bli ”lagen om allt”, enligt en färsk rapport från Svenskt Näringsliv.

GDPR kan hämma innovationer inom artificiell intelligens, som ju handlar om att analysera stora datamängder. Lagen föder också en vidsträckt byråkrati långt utöver vad som är motiverat utifrån integritetsskyddet. I en del fall förhindrar GDPR internationella dataflöden, eftersom information inte får lagras i molntjänster utanför Europa. Exempelvis får svenska patienter med diabetes typ 1 inte tillgång till den senaste tekniken med uppkopplade insulinpumpar, eftersom informationen finns på servrar i USA.

För företagen är GDPR svårförutsägbar, eftersom rättsutvecklingen sker successivt. Det är också svårt för företagen att veta vilken sorts personuppgiftshantering som kräver att företagen gör konsekvensbedömningar, och vilken som inte gör det.

Svenskt Näringsliv har i sin rapport listat ett antal förbättringsförslag till Integritetsskyddsmyndigheten, som ansvarar för GDPR i Sverige. Den svenska regeringen kan också trycka på för att förbättra själva grundlagstiftningen. 2024 ska hela GDPR utvärderas av EU-kommissionen. Då måste strävan vara att minska den administrativa bördan för företagen, öppna för lagring utanför Europa och inte fortsätta på den destruktiva vägen att vilja spärra ut amerikanska it-lösningar.

GDPR har blivit ett monster som dyker upp överallt i det företagen gör, den tvingar fram konsultinköp långt utanför företagens kärnverksamhet, den riskerar leda till att målet blir bokstavsefterlevnad av lagen snarare än ökad integritet i realiteten. Den kan försämra företagens innovationsförmåga och den europeiska konkurrenskraften.

Lyssna på det senaste avsnittet av Di:s ledarpodd som handlar om det amerikanska infrastrukturpaketet IRA, dess konsekvenser för Europas näringsliv och hur europeiska politiker ska svara.

Innehåll från HPEAnnons

Maximera nyttan av data med bibehållen integritet och säkerhet

Publicerad:24 januari 2023, 10:28Uppdaterad:31 januari 2023, 11:10

Allteftersom företag och organisationer antar mer datadrivna arbetssätt uppstår nya utmaningar vad gäller att förädla och skydda de enorma mängder data som genereras. Samtidigt hårdnar kraven på regelefterlevnad, vilket skapar en komplex situation.

– Att implementera en strategi för att snabbt och effektivt kunna hantera data med hänsyn tagen till regulatoriska krav och compliance ökar möjligheten att bli marknadsledande, säger Christian Pernod, HPE.

I takt med digitaliseringens framfart ökar mängden data. Företag möts varje dag av en allt större våg av inkommande information som måste bearbetas, prioriteras och analyseras. Men den stora frågan är ändå vilken information som är relevant att spara?

Christian, Head of Advisory and Professional Services hos HPE, konstaterar att det rör sig om ett tveeggat svärd; data är det mest värdefulla bolagen äger men också det som gör dem mest sårbara. Överallt står vi exponerade med digitala plattformar där nya hot uppstår var och varannan dag. Därför måste det finnas en strävan att ha full kontroll över sin data, oavsett var den befinner sig.

– Oavsett om det rör sig om hot med aktörer som vill tjäna pengar, utpressa sig till ytterligare känslig information eller påverka demokratin, är det ofta stora rörelser med omfattande resurser som utför angreppen på företag och dess värdefulla information. Utan rätt infrastruktur, processer eller digitala komponenter står all data inför en betydande ökad risk.

Val av partnerskap

Att anpassa organisationen efter digitaliseringens nya krav har blivit allt viktigare för att kunna fortsätta effektivisera sig och fullt ut kunna nyttja kraften från data. Här behöver man hitta sätt att konsolidera sin data för att få kontroll. Ett komplext arbete som kommer att kräva nya sätt att hantera denna data varsamt, från ”edge”- platsen där data genereras, vid datacentret hela vägen till molnet.

– Ur ett compliance-perspektiv är det att föredra att ha en stor datakälla för att få visibilitet, samtidigt är det där vi ser utmaningen kopplat till integration, att förena processer och infrastruktur. Därför går inte att bygga en stor silo runt sin datakälla sett till compliance; istället är det ett måste etablera processer och rutiner som är anpassade efter en rad olika datakällor med en zero trust och data mesh arkitektur i grunden. Detta för att hantera riskerna, inte minst kopplat till den mänskliga faktorn men framför allt för att kunna dra nytta av automation.

Christians rekommendation är att sikta på en högre grad av automatisering i hanteringen av data i samband med att man kopplar samman olika datapunkter eller analyserar information. Något som säkerställer bättre kontroll av processen och ger ett sömlöst flöde, men förutsätter en viss kompetens och mognadsgrad inom organisationen.

– Vi ser att det finns ett stort behov av att vidareutveckla sin infrastruktur utifrån befintlig IT-miljö och anpassa den efter verksamhetens unika behov. Att välja partner och leverantörer som förstår utmaningarna och kommer med proaktiva lösningar blir allt viktigare. Här tar HPE sitt fulla ansvar och med plattformen HPE Greenlake kan vi stötta våra kunder att eliminera risker och samtidigt hantera data på rätt sätt anpassat efter dagens och morgondagens regulatoriska krav.

Vill främja innovationskraft

Enligt Christian befinner vi oss i en spännande tid där data är en given katalysator att driva innovation. Men det gäller att agera nu. Svensk industri har en enorm innovationskraft samtidigt som konkurrensen ökar, inte minst på den globala arenan. Christian efterlyser därför att fler tar initiativ för att främja svenska bolags utveckling med hjälp av data.

– HPE strävar efter att vara en möjliggörare för ökad innovation. Dels genom ett etablerat och nära samarbete med AI Sweden där vi bidrar med både kompetens och teknik som gör det möjligt för företag som vill testa sin innovation att också göra det. Men också genom att erbjuda en automatiserad plattform som syftar till att hålla företags infrastruktur uppdaterad för ökad resiliens mot interna och externa hot. Dessutom har vi skapat ramverk som inom ramen för AI kan säkerställa compliance i sättet att maximera nyttan av data i analys men med bibehållen integritet.

Säkrare datahantering, förbättrad regelefterlevnad

Ett annat sätt HPE underlättar för sina kunder är att stötta företag i att ta ökat ägandeskap av sin data och verksamhet. Det leder i förlängningen till ökad motståndskraft och kontroll, vilket i sin tur lägger grunden för en snabbare digital utveckling. Christian betonar att detta dock inte betyder att man är fullt skyddad – det krävs flera lager och mekanismer för att minska riskerna. Men det är något som HPE lägger in i infrastrukturen för att kunna erbjuda en heltäckande säkerhetslösning.

– Eftersom HPE:s servrar dessutom har säkerheten inbyggd hela vägen in till ”chipet” kan vi bidra till att våra kunder blir tryggare och mer effektiva digitala verksamheter. I slutänden betyder det att vi också stöttar företag i arbetet mot att uppnå full regelefterlevnad på ett sätt som ger störst mervärde, avslutar Christian.

Läs mer om compliance hos HPE