Compliance, nej tak

Jeg blev for nylig inspireret af dette glimrende opslag:

https://www.linkedin.com/posts/avishaiostrin_gdpr-privacypros-privacy-activity-6904323314152800256-Nsqa

Der er mange indlysende fordele ved, at persondatabeskyttelse (og IT-sikkerhed, i øvrigt) med tiden er blevet mere juridisk reguleret. Privacy-området ville være ilde stedt uden fx ePrivacy-direktivet, GDPR og databeskyttelsesloven, og flere og flere lande over hele verden (og stater i USA) indfører da også GDPR-lignende lovgivning.

Men det har også en pris, at emnet er blevet legeplads for juranørder med hang til paragraffer og subtil tekstfortolkning. For det gør, at diskussionen om databeskyttelse nærmest udelukkende kommer til at handle om compliance, overholdelse af regler.

Jura-diskussionerne handler typisk om hvordan regler præcis fortolkes, hvorvidt reglerne er skøre eller fornuftige, og om de håndhæves korrekt eller inkonsistent. Juraen er i sin natur teknisk, og det bliver en meta-diskussion, hvor man nemt mister blik både for de mennesker, hvis data det hele handler om, og de processer, virksomheder og organisationer, der skal kunne fungere.

Ordet compliance er i sig selv med til at fastholde fokus på det rent tekniske, juridiske aspekt, da det jo i sin essens betyder at gøre som befalet. “To comply” er at adlyde eller indvilge – eller, i andre sammenhænge, at forme sig efter en udefrakommende kraft. Compliance er en aktiv handling, men passiv i den forstand at den altid er en reaktion, baseret på en udefrakommende regel eller ordre. Og compliance er i princippet ikke noget, man kan gradbøje, for enten adlyder man og overholder reglerne, eller også gør man ikke .

I modsætning hertil står dataetikken – eller, som bl.a. bibliotekarerne kalder det, informationsetik (som faktisk er et mere retvisende navn). Dataetik er netop ikke binært, ikke reaktionært, og ikke teknisk. Det handler i sidste ende om følelser, om forventninger og om at opnå den rette balance mellem forskellige hensyn. Man kan på forhånd tage principiel stilling til hvilke elementer, man vil lægge vægt på (i en dataetisk politik), men en konkret afvejning kan ikke slås efter i Karnov.

However, the fact that your research is legally permissible does not necessarily mean that it will be deemed ethical

Ethics and data protection“, notat fra EU Kommissionen, 2021

En misforståelse, jeg ofte har mødt, er at dataetik bygger ovenpå eller “kommer efter” compliance. For nogle bliver det endog til, at man først rigtig kan tillade sig at arbejde seriøst med dataetik, når man har opnået fuld compliance. Det er helt forkert, af flere grunde.

For det første opnår de færreste virksomheder og organisationer i realiteten nogensinde fuld compliance. Der vil altid være mere at gøre, for at være sikker på at leve op til reglernes bogstav – og så fald når man jo aldrig til at arbejde med dataetikken. For det andet kan der i visse tilfælde være modstrid mellem dataetik og lovgivning. Hvad reglerne siger er jo bare ét perspektiv og selvom det er undtagelsen, kan der være andre hensyn, der vejer ligeså tungt – eller tungere.

Som virksomhed eller organisation må man derfor foretage samlede, dataetiske afvejninger af sin databehandling, og naturligvis lade compliance indgå som et vigtigt perspektiv. Og oplyse og træne sine medarbejdere i hvordan de omgås data etisk ansvarligt, foruden at kende og følge love og regler, så de agerer så compliant som muligt.

Så jo jo, det er klart, compliance er vigtigt. Men det er altså hverken en erstatning eller forudsætning for dataetik, og compliance bør aldrig stå alene i arbejdet med persondata.