A study of the adverse and beneficial influences of GDPR

Abstract

Små og mellomstore bedrifter er en store bidragsytere til den globale økonomien og står for to tredjedeler av alle arbeidsplasser i EU. På grunn av sin størrelse sammenlignet med større enheter er de ofte mer skjøre for endringer og krav som er ressurskrevende. The General Data Protection Regulation trådte i kraft mai 2018, og er den største endringen i databeskyttelse standarder dette århundret. Det er en sosial forskrift opprettet for å beskytte individets rett til å kontrollere sine egne data. Denne typen regulering har tradisjonelt blitt sett på som en byrde for bedrifter, spesielt for mindre enheter som allerede sliter med å holde hodet over vannet. Ikke bare vil forståelse av det juridiske rammeverket og tilsvarende forpliktelser i de fleste tilfeller kreve en betydelig allokering av ressurser og ekspertise, for å sikre fortsatt overholdelse vil det også kreve kontinuerlige strategiske modifikasjoner og kontinuerlige forbedringer. Regulatorisk forskning har tradisjonelt sett på regelverk som en utelukkende negativ påvirkning uten noen positive faktorer. Nyere regulerings forskning har kritisert dette synet for å være utdatert og dystert på grunn av dets uvitenhet om potensielle positive effekter. Denne kritikken var grunnlaget for Porters hypotese. Ifølge hypotesen kan reguleringer i utgangspunktet oppfattes som tyngende og negative, men kan fungere som en katalysator for innovasjon og bidra til å skape bærekraftige konkurransefortrinn over tid. Forfatteren formulerte tre forskningsspørsmål for å utforske den potensielle effekten av General Data Protection Regulations over tid på RQ1: Hvordan har nivået på GDPR- overholdelse utviklet seg over tid i sammenheng med SMB-er i Norge? RQ2: Hvilke negative effekter kan sees over tid i denne sammenhengen? RQ2: Hvilke fordelaktige effekter kan sees over tid i denne sammenhengen? For å svare på forskningsspørsmålene valgte forfatteren å gjennomføre en longitudinell kvalitativ casestudie med to caser. Begge casene er norske SMB-er som administrerer data som faller inn under lovverket. Casene ble intervjuet ved to anledninger, med et intervall på ett år og åtte måneder mellom hvert intervju. Resultatene av intervjuene ble gjenstand for tverrsaksanalyse for å undersøke i hvilken grad og måte regulatorisk effekter har påvirket selskapene, og for å avgjøre om deres erfaringer og atferd stemmer overens med det som er funnet i eksisterende litteratur. De to casene avslørte betydelige forskjeller i deres tilnærming til GDPR-overholdelse, noe som resulterte i distinkte innvirkninger på deres ressurser og innovasjon. Forskjellen i tilnærming så ut til å være sterkt påvirket av eksterne faktorer og eksisterende kjerneverdier i enhetene. Noen likheter dukket imidlertid opp over tid, og funnene tyder på at GDPR kan ha både positive og negative implikasjoner. Casen med et høyt samsvarsnivå opplevde en omfattende regulatorisk byrde som hemmet deres forskning og utvikling over tid. Dette skyldes kontinuerlig press på ressurser samt en uforholdsmessig ressursbelastning sammenlignet med større enheter. I løpet av den observerte tidsperioden genererte reguleringen betydelig usikkerhet og bekymring for begge selskapene, med økonomiske og kunnskapsbaserte bekymringer. En omfattende motivasjonsbelastning viste seg også for en av casene. Begge selskapene så imidlertid på reguleringen som en potensiell kilde til konkurransefortrinn i forhold til enheter som ikke overholder kravene, og som en avgjørende faktor i forretningsforhandlinger. Til slutt, forskningen fant ingen bevis for at GDPR hadde fungert som en trigger for innovasjon. Forskriften fungerte snarere som et veiledende rammeverk som letter strategisk beslutningstaking og økt forståelse av interne prosesser og datahåndtering.

Small and medium-sized enterprises are a huge contributor to the global economy and account for two thirds of all jobs within the European Union. Due to their size compared to larger entities they are often more fragile for changes and requirements which are resource intensive. The General Data Protection regulation came to force May 2018 being the biggest change in data protection standards this century. It is a social regulation created to protect the individual's right to control their own data. This type of regulation has traditionally been viewed as a burden for companies, particularly for smaller entities who are already struggling keeping their head above water. Not only will comprehending the legal framework and corresponding obligations in most cases require a significant allocation of resources and expertise, ensuring continued compliance will also require continuous strategic modifications and ongoing improvements. Regulatory research has traditionally viewed regulations as an exclusively adverse and negative influence without any positive factors. Newer regulatory research has criticized this old view for being outdated and gloomy due to its ignorance of potential positive effects. This criticism created the foundation of Porter's Hypothesis. According to the hypothesis, regulations may initially be perceived as burdensome and negative, but might serve as a catalyst for innovation and contribute to the creation of sustainable competitive advantages over time. Each national authority is responsible for overseeing compliance, and thus there can be significant differences in how the regulation is interpreted per country (Freitas and Mira da Silva, 2018, Krasniqi, 2007). To prevent any misunderstandings the author is therefore throughout this paper emphasizing that this study is in the context of Norwegian entities. The author formulated three research questions to explore the potential impact of the General Data Protection Regulations over time on: RQ1: How has the level of GDPR compliance developed over time in the context of SMEs in Norway? RQ2: What adverse effects can be seen over time within this context? RQ2: What beneficial effects can be seen over time within this context? To answer the above research questions the author chose to conduct a longitudinal qualitative case study with two cases. Both cases involve Norwegian SMEs that manage data falling under the scope of the GDPR. The cases were interviewed on two occasions, with an interval of one year and eight months between each interview. The results of the interviews were subjected to cross-case analysis to examine the extent and manner in which regulatory impact has affected the companies, and to determine if their experiences and behaviors are consistent with what has been found in existing literature. The two cases revealed significant differences in their approach to GDPR compliance, resulting in distinct impacts on their resources and innovation. The difference in approach seemed to be highly influenced by external factors and existing core values within the entities. However, some similarities emerged over time, and the findings suggest that GDPR can have both positive and negative implications. The case with a high compliance level experienced an extensive regulatory burden which hampered their research and development over time. This was due to continuous pressure on resources as well as a disproportional resource burden compared to larger entities. Over the observed time period, the regulation generated substantial uncertainties and concerns for both companies, with financial and knowledge-based worries. An extensive motivational burden also appeared for one of the cases. However, both companies viewed the regulation as a potential source of competitive advantage over non-compliant entities and as a crucial factor in business negotiations. Lastly, the research revealed no evidence that GDPR had functioned as a trigger for innovation. Rather, the regulation served as a guiding framework facilitating strategic decision-making and enhanced understanding of internal processes and data management.