Fugleperspektivet i «compliance»-arbeidet har aldri vært viktigere
Har du og din virksomhet fått med deg alle forpliktelsene i Data Act, Data Governance Act, AI Act, Digital Markets Act, Digital Services Act, NIS2, GDPR og Åpenhetsloven? Nei? De færreste har det, selv om disse rettsaktene forplikter de fleste norske bedrifter og kommuner.
Skal virksomheten din være «compliant» anno 2024 må dere overholde en rekke krav til personvern, datasikkerhet, arkiv, konkurransevilkår og menneskerettigheter. Kravene til data- og informasjonsforvaltning øker – noe som selvsagt er bra for å sikre gode digitale tjenester og ivaretakelse av borgerens rettigheter. Samtidig er «lov-massen» en utfordring for bedriftene og kommunene. Som Digitaliseringsdirektoratet utrykker det, er dette et «vanskelig landskap å navigere i» og som «sannsynligvis [vil] medføre vesentlige økonomiske og administrative konsekvenser for flere sektorer og etater».
For de fleste vil det være en umulig oppgave å sette seg inn i alle disse lovkravene. Likevel, er etterlevelse ikke en umulig oppgave. Om man anlegger «fugleperspektivet» (metaperspektivet), vil man se at de fleste lovene og rettsaktene handler om å ivareta grunnleggende prinsipper om retten til privatliv, rettferdig tilgang til og bruk av data, og menneskerettigheter – og lovene overlapper på flere punkter. Som uttalt av advokat Georg A. Engebretsen under «Oslo Compliance Forum» kan man ikke lenger bare prioritere et compliance-område, men «... man må se ting i sammenheng, og jobbe med alt samtidig».
Hva er ulempen med silotekning?
Vi ser ofte at norske bedrifter og kommuner behandler arbeidet med personvern, datasikkerhet, dataforvaltning og åpenhetsloven isolert og uavhengig av hverandre. Ulempen ved dette er at man gjerne overser overordnet risiko ved databehandlingen – man klarer ikke se hele bildet. I tillegg medfører siloarbeidet dobbeltarbeid, større ressursbruk og lavere kvalitet.
Det er likevel forståelig at man jobber silobasert. Lovene er fragmenterte, kompliserte og inviterer i liten grad til samordning. Ansvaret for å skape sammenheng veltes over på bedriftene og kommunene – som klart sliter med å lage system i havet av lover og regler.
Hvordan heve blikket?
Vår kjepphest er likevel at man burde prøve å se sammenhengene og benytte «fugleperspektivet». Eksempelvis handler både GDPR, AI Act og Åpenhetsloven om å vurdere risiko knyttet til virksomhetens og leverandørens varer og tjenester. Selv om fokusområdene for rettsaktene er ulike, handler de grunnleggende sett om samme vurdering – «hvilke risikoer innebærer driften vår»?
Når man ser risiko ved dataforvaltning på tvers av lovverkene, er det også enklere å arbeide med lovkravene samtidig. Man vil se at risikovurderinger etter alle lovverkene krever en oversikt over hvilke data man har, hvor dataen er lagret, hvor lenge man lagrer det og hvorfor. Eksempelvis kan man effektivisere arbeidet ved å ikke bare forespørre leverandøren om sikkerhetsinformasjon i forbindelse med ROS/DPIA (risikovurderinger av personvern), men også forespørre leverandøren om vedkommendes bruk av KI eller ivaretakelsen av menneskerettigheter i bedriften. Slik kan man kutte unødig ressursbruk, og samtidig få tilstrekkelig dokumentasjon til å vurdere den totale risikoen ved databehandlingen. I samme slengen har man også oppnådd «compliance» med tre ulike lovverk.
Så, hva skal man trekke ut av dette? For det første må alle som jobber med informasjons- og dataforvaltning prøve å heve blikket i sitt arbeid. Har ditt fagområde berøringspunkter til andre lovverk? Kan denne risikoen ha betydning for mer enn bare personvern? Hvem i bedriften kan du samarbeide med for å effektivisere og dele relevant informasjon i risikovurderingene? Tenker man slik, vil man allerede være godt på vei!
Les også: Det er den ukontrollerte risikoen du mister nattesøvnen av
Vi som utvikler «compliance»-løsninger må også heve blikket!
Vi som utvikler «compliance»-løsninger må også bruke «fugleperspektivet» i vårt arbeid. Som professor i forvaltningsinformatikk Dag Wiese Schartum skriver i artikkelen «Jus og digitalisering» er «digitale hjelpemidler ofte er en forutsetning for effektiv regulering» og bruk av digital teknologi som ledd i rettslig styring «er mulig å benytte [...] innen alle rettsområder». Følgelig må vi lage digitale løsninger som lager bro mellom ulike lovverk, og som gjør at man faktisk forstår helheten. Ved å lage tverrfaglige fellesløsninger for dataforvaltning kan også virksomhetene samle informasjon fra ulike områder på ett felles sted, og som gjør ajourhold enklere og datakvaliteten bedre. Vi må altså utvikle våre løsninger slik at de faktisk løser morgendagens problem, og ikke gårsdagens.
Å lage morgensdagens løsning for dataforvaltning er ideal vi i Iconfirm søker å oppnå. Iconfirms opprinnelige målsetting var å løse GDPR- og personvernsutfordringer for norske bedrifter og kommuner. Og det gjør vi fortsatt! Men vi har også erfart at personvern ikke er den eneste utfordringen det digitale Norge står overfor. Dataforvaltning handler om personvern, trygg- og effektiv dataflyt, gode arkiveringsløsninger, «governance», og transparens i hele leverandørkjeden. Alle disse brikkene må være på plass for å ha orden i eget hus. Vi kan derfor ikke utvikle våre tjenester uten å tenke helhetlig. Først da vil vi oppnå ekte «compliance».
Bildene er laget gjennom Copilot, som bruker DALL-E.
Hva gjør vi fremover for fugleperspektivet? Nye løsninger for dokumentasjonsforvaltning, AI Act og åpenhetsloven
Vi tror at morgendagens digitale fagsystem er å legge til rette for etterlevelse av ulike lovverk i samme digitale løsning. Det er derfor Iconfirm nå ruller ut nye løsninger - ikke bare for personvern og informasjonssikkerhet, men også for dokumentasjonsforvaltning og arkiv i Iconfirm. Vi gjør dette for å følge opp anbefalingen fra DigDir sitt «Digitialiseringsrundskriv» om bygge inn personvern og arkiveringsfunksjoner i saksbehandlings- og fagsystem. Vi er også i prosessen av å utvikle modul for AI Act og Åpenhetsloven – slik at bedrifter kan gjennomføre aktsomhetsvurderinger for bruk av kunstig intelligens og menneskerettigheter i bedriften og hos leverandører.
Dette er vi i Iconfirm sikre på at vil styrke kvaliteten i etterlevelsen av lovverket, bidra til mer effektiv ressursbruk, samt sikre ivaretakelse av borgernes rettigheter. Vi jobber altså for å gi deg og din bedrift/kommune et verktøy for å tenke helhetlig, og vi gleder oss til å utvikle dette sammen med våre partnere og kunder. For det er først når både vi og dere tenker helthetlig – at vi kan skape reell «compliance» sammen.