EU, teknologi og lovgivning
IT-JUSS: Teknologi, personvern og informasjonstilgang er i vinden på lovgivningsfronten i EU. Årsaken er naturlig nok fordi «data» er overalt i både yrkeslivet og privat – og i kjølvannet følger det en rekke nye direktiver og forordninger fra EU. Noen er kjente og kjære, mens andre kanskje har gått litt under radaren. Vi ser i det følgende på noen regelverk det er verdt å få med seg.
GDPR er den mest kjente av dem og er en regulering som tilnærmet alle bedrifter må forholde seg. Årsaken er at omtrent all bruk av personopplysninger reguleres av GDPR og den som er ansvarlig for bruken av personopplysningene får en rekke plikter, for eksempel at vedkommende personopplysningene omhandler har rett til å få informasjon om hvordan personopplysningene brukes. Vi har også tidligere i Computerworld skrevet om den nye AI Act, som har fått mye oppmerksomhet i Norge og resten av Europa.
EU har imidlertid større ambisjoner enn å bare regulere bruken av personopplysninger og AI-teknologi. EU har et uttalt overordnet mål om å ha et «EU Digital Single Market». Dette inkluderer at man skal ha lovgivning som både sikrer konkurranse og likebehandling i teknologisektoren, man skal beskytte data om EUs borgere, og man skal samtidig tilrettelegge for deling og gjenbruk av data der det er hensiktsmessig.
Strategien ble vedtatt i 2015, men det er kanskje nå man virkelig ser jungelen av teknologilovgivningen som blir vedtatt i EU. Noen av reguleringene er helt nye, som AI Act. Andre reguleringer kommer i en ny drakt, for eksempel NIS-direktivet. NIS-direktivet er EUs regulering av informasjonssikkerhet og særlig cybersikkerhet i nettverk- og informasjonssystemer.
Det er også flere av forordningene som får ganske lite oppmerksomhet i alminnelige nyhetskanaler, men som kan ha større betydning i forbindelse med rettsliggjøringen av bruk av data. Dette er kanskje særlig regelsettene «Data Governance Act» og «Data Act». Selv om de to ulike reguleringene har ganske like navn og begge regulerer databruk, er deres hovedformål forskjellig.
Felles for både Data Governance Act, Data Act og øvrige nye reguleringer er at imidlertid EU i mye større grad sikter på å regulere hvordan informasjonsdata kan og skal brukes.
Data Governance Act sitt primærformål er å være et rettslig rammeverk for deling og gjenbruk av data. Dette gjelder særlig i offentlig sektor der meningen er at data som ikke er å regne som offentlig tilgjengelig data skal lettere kunne deles og gjenbrukes. Et av eksemplene som trekkes frem er deling av helsedata der formålet er å kurere sjeldne eller kroniske sykdommer.
Data Acts hovedformål har derimot i mye større grad et forbrukerperspektiv. Data Act stiller blant annet krav til innholdet i kontrakter i forbindelse med salg av produkter og eventuelle IT-tjenester som følger med produktet. Blant annet stilles det krav om informasjon til forbrukeren i selve kontrakten og det er bestemmelser som skal hindre at selskaper inngår kontrakter som er urimelig for forbrukeren.
Data Act skal også tilrettelegge for at det skal være mye lettere for forbruker å ta med seg selve dataene dersom forbrukeren for eksempel velger å bytte ut Garmin-klokken med en Fitbit-klokke, såkalt rett til dataportabilitet.
Det regulatoriske nedslagsfeltet for bruk av data blir altså stadig større. De senere årene har det vært et stort fokus på GDPR og bruk av personopplysninger. Felles for både Data Governance Act, Data Act og øvrige nye reguleringer er at imidlertid EU i mye større grad sikter på å regulere hvordan informasjonsdata kan og skal brukes. Man må derfor fremover holde tungen enda rettere i munn hvis man jobber med teknologi og bruk av data.
