Da EU-kommisjonen tiltrådte i 2019, kunngjorde den en digital strategi for å understøtte den teknologiske utviklingen i Europa, slik at europeisk innovasjon stimuleres og vår digitale suverenitet ivaretas. Samtidig er det et mål at det nye regelverket skal bidra til at digitale teknologier brukes i tråd med europeiske standarder og i samsvar med grunnleggende verdier vi kjenner oss igjen i. Det er tydelig at Kommisjonen mener at tillit til teknologiske nyvinninger og tillit til at data behandles riktig, er essensielt for økt digital innovasjon.
I utformingen av de nye regulatoriske initiativene har EU latt seg inspirere av et av sine mest suksessrike regulatoriske initiativer de siste årene, nemlig GDPR, og utformet de nye initiativene etter samme oppskrift. Denne kronikken vil vise noen ingredienser som gjør at virksomheter som har jobbet godt med GDPR, vil ha fordeler når de nye regelverkene skal etterleves.
Plikt til å ha oversikt over virksomhetens aktiviteter
Med GDPR ble det obligatorisk å ha en behandlingsprotokoll. Dette er en oversikt som viser i hvilke sammenhenger en virksomhet bruker personopplysninger. Virksomheten må gjennom denne oversikten beskrive når, hvordan, hvorfor, hvor lenge og på hvilket rettslig grunnlag personopplysninger benyttes. Behandlingsprotokollen er kjernen i enhver virksomhets arbeid med etterlevelse. Det er derfor ikke overraskende at Kommisjonen også i flere av de nye rettsaktene har nedfelt sammenlignbare krav om oversikt over forhold som krever regelverksetterlevelse.
Gjennom Digital Operational Resilience Act (DORA) vil for eksempel finansforetak være forpliktet til å dokumentere alle cybertrusler av betydning. Artificial Intelligence Regulation (AI Act) krever at man har oversikt over hvor i virksomheten kunstig intelligens benyttes, hva som er formålet med den kunstige intelligensen, hvilken risiko den innebærer og hvordan trening, validering og testing av data gjennomføres – alt sammen kunnskap en virksomhet må ha for å være i stand til å etterleve det aktuelle regelverket.
Samarbeid med tredjeparter
De nye rettsaktene strammer også inn kravene til hvordan organisasjoner samarbeider med tredjeparter og i hvilken grad organisasjonen forblir ansvarlig når tredjeparter benyttes. Dette inkluderer et ansvar for å ha kontroll med leverandører, forretningspartnere og andre tredjeparter ,som programvare- og skytjeneste-leverandører. Et eksempel er DORA, som krever at finansvirksomheter inngår tredjepartskontrakter og også stiller krav til kontraktenes innhold.
Det er nærliggende å trekke linjer til reguleringen av relasjonen mellom behandlingsansvarlig og databehandler i GDPR og kravet til innholdet i en databehandleravtale. Følgelig er det vel anvendt tid å se arbeidet med databehandleravtaler og kravene til tredjepartsoppfølging i de nye rettsaktene i sammenheng.
Åpenhet og informasjon
Krav til åpenhet og transparens er grunnleggende prinsipper fra GDPR og viktige verdier i den europeiske samfunnsstrukturen. Uten transparens er det utfordrende for både forbrukere og virksomheter å benytte seg av de rettigheter og muligheter som regelverket gir. «Portvokterne» vil gjennom Digital Service Act (DSA) få en forpliktelse til årlig rapportering om innholdsmoderering, mens AI Act innfører en plikt til å gi informasjon om når en person samhandler med en algoritme og hva denne algoritmen gjør.
Internkontroll
Norske virksomheter er godt kjent med krav til internkontroll og styringssystemer. GDPR har selv tydelige forpliktelser om innføring av både tekniske og organisatoriske tiltak for å etterleve forordningen.
Både Digital Markets Act (DMA) og DSA har detaljerte regler for compliance-funksjonen, mens finansinstitusjoner omfattet av DORA er forpliktet til å ha styringssystemer som sikrer effektiv håndtering av IKT-risiko. Også i AI Act er det foreslått krav til gode styringssystemer for å sikre høy kvalitet på trening, validering og test av data.
Forberedelser for det digitale tiåret
Under slagordet «Europas digitale tiår» skal vi se frem mot en tryggere, grønnere og mer robust fremtid, preget av Europas ambisjon om digital suverenitet. EU skal investere i muligheter og sette regler for å redusere risikoen for europeiske borgere. På samme måte som med GDPR, vil det bli utfordrende å navigere mellom nye regler, teknologi og organisatoriske utfordringer.
Men om det er én ting vi har lært fra innføringen av GDPR, er det at det er like greit å komme i gang først som sist!
Kulturministeren i dialog med tek-gigantene