– Det borde göras en översyn av GDPR utifrån balansen mellan integritet och innovation och med målet att minimera onödig byråkrati, säger den moderata politikern Jörgen Warborn (M), europaparlamentariker sedan 2019.  

– Vi måste hitta en annan ansats för GDPR, där vi gör tydlig skillnad mellan högriskdata som regleras noga och lågriskdata där vi låter användningen vara friare.

Warborn anser att uppdelningen av dataanvändningen i hög-eller lågrisk bör göras utifrån hur känslig datan är etiskt och integritetsmässigt. Patientdata som kan kopplas till en enskild individ är till naturen högriskbetonad medan anonymiserad och aggregerad patientdata över populationen i en hel region inte är det. 

– När man bedömer riskerna måste man också se till vilka ändamål datan ska användas för: riskerar den att vålla skada eller inte. Fordonsdata som används i styrsystemet i ett självkörande fordon riskerar om det kan manipuleras av tredje part att vålla trafikolyckor, vilket naturligtvis är en risk som behöver regleras noga. Medan anonymiserad fordondata som används i kartjänster inte innebär uppenbara risker och därför inte behöver regleras nämnvärt. Högrisk definitionen bör vara så smal och kirurgisk som möjligt för att inte lägga en våt filt över den tekniska utvecklingen i en hel sektor.  

Warborn, 52 år, är moderat politiker och tidigare egenföretagare. Han har erfarenhet från flera startups inom IT och en kommunikationsbyrå. Under fyra år var han kommunalråd i Varberg i Halland. Både Warborn och GDPR:s fader Axel Voss, som vill ha en översyn av GDPR, är medlemmar i samma moderata och kristdemokratiska koalition, partigruppen EPP. 

– Många småföretagare var brydda och upprörda när GDPR-förordningen kom. Den var för byråkratisk och ingen visste riktigt hur den skulle tolkas. 

– I många fall kan jag tycka att GDPR inte spelar någon roll för den personliga integriteten, till exempel om någon finns med i ett kortregister hos det lokala möbelföretaget för en leverans. 

Begreppet cookie-trötthet

Warborn säger att han försöker vara en av dem som tänker hela vägen. 

– Ibland tror jag att lagstiftaren överdriver människors rädsla. Vi delar våra uppgifter därför att vi är inte rädda.

– Begreppet cookie-trötthet har beskrivits flertalet gånger i media och i rapporter sedan kravet på medgivande infördes. Vem tar sig tid att gå igenom användaravtalen på varje webbsida man besöker? Det borde inte behöva vara så att ett uttryckligt medgivande behövs varje gång. 

Enligt Warborn framgår det i GDPR:s sjätte paragraf att en av grunderna för att behandla data utan uttryckligt samtycke är att "behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn." 

Han anser att denna formulering borde tolkas mer generöst så att företag eller organisationer i flera fall kan spara lågriskdata i syfte att förbättra användarupplevelsen och driva teknisk utveckling. 

– Cookies fanns redan före GDPR och vi har aldrig hört någon uttrycka oro för dessa innan kravet på medgivande infördes. Få känner sig nog märkbart tryggare nu, utan snarare irriterade på att bombarderas med cookie-varningar till ingen nytta, säger Warborn. 

Jörgen Warborn anser att ett annat problem kan vara att lagstiftningen tillämpas på olika sätt i olika länder. I vissa länder jobbar myndigheterna mycket "coachande" och försöker hjälpa företag och organisationer att göra rätt, medan andra länders myndigheter istället fokuserar ensidigt på att utöva kontroll i efter hand. 

– Avvägningarna kan i många fall vara kniviga och därför borde det upprättas en EU-gemensam tolkningsmanual så att myndigheterna bedömer lika fall lika. Det som är ok i Danmark kan inte stå under viteshot i Sverige.

Bara 14 tackade nej i region Halland

– Artificiell intelligens (AI) har en stor innovationspotential, säger han. Men de som arbetar med AI måste få tillgång till samtliga data och då behövs en översyn av GDPR. 

Han berättar att region Halland för några år sedan började använda AI för att effektiviserar och förbättra sjukvården, bland annat patientplaneringen. 

– De behövde få tillgång till samtliga patientdata i regionen. De skapade datalager med patientdata, personaldata, och ekonomidata och byggde sedan AI-modeller för att förbättra flödena och styra rätt vård till rätt person i rätt tid. 

– Istället för att använda det gängse uttryckliga medgivandet, så valde de en opt-out-lösning när de samlade in informationen. De medborgare som inte ville dela med sig av sina personliga uppgifter kunde tacka nej. Av de 330 000 som bor i regionen tackade 14 nej. 

Jörge Warborn säger att för honom är det en tydlig indikation på:

– Att så länge vi litar på aktören eller organisationen, i detta fall region Halland, så är vi beredda att dela med oss av data. Och inom sjukvården har datadelning och AI-användning, bokstavligt talat, livräddande egenskaper.

TEXT: Margaret von Platen