DEBATT – av Anna Eidvall, advokat och ansvarig för Integritet och Dataskydd på MAQS Advokatbyrå, Karin Schurmann, advokat och ansvarig för Integritet och Dataskydd på MAQS Advokatbyrå, Mikael Satama Granberg, advokat och ansvarig för Digital Governance på MAQS Advokatbyrå.
EU:s strävan att gå i bräschen för att driva och reglera det digitala årtiondet har på senare år lett till en tsunami av regelverk på temat. För många små- och medelstora företag som tidigare inte aktivt arbetat med compliance var implementationen av GDPR startskottet för ett nytt arbetssätt och risktänk. Ett arbetssätt och risktänk som nu behöver tas till nästa nivå med hänsyn till all den EU-lagstiftning som nyligen trätt i kraft eller träder i kraft inom kort: AI-förordningen, Data Act, NIS2-direktivet, Digital Services Act (DSA), Digital Markets Act (DMA), Cyber Resilience Act (CRA), Critical Entities Resilience (CER) direktivet, Digital Operational Resilience Act (DORA) för att nämna några. Företag som är väl införstådda med den arbetsinsats som krävs har en stor fördel, men de allra flesta ligger redan på efterkälken där varken tillräckligt med tid, resurser eller förståelse finns för de risker och skyldigheter som digitaliseringen medför.
Det är däremot lätt att se stora möjligheter med den tekniska utveckling som sker runtomkring oss just nu.
• Genom automatisering och användning av AI-teknik kan företag effektivisera sina processer och minska behovet av manuellt arbete – vilket kan leda till ökad produktivitet och kostnadsbesparingar.
• Genom användning av avancerade analysverktyg och AI-teknik kan företag skapa mer personliga och skräddarsydda kundupplevelser – vilket kan öka kundnöjdheten och stärka varumärkeslojaliteten.
• Den tekniska utvecklingen öppnar upp för nya affärsmöjligheter och innovationer. Genom att utnyttja nya teknologier kan företag skapa nya produkter och tjänster samt utveckla nya affärsmodeller.
• Genom att analysera stora mängder data kan företag få insikter som kan användas för att optimera affärsstrategier och öka konkurrenskraften – vilket leder till bättre och mer informerade beslut.
• Den tekniska utvecklingen kan också bidra till ökad hållbarhet genom användning av exempelvis smarta energilösningar och förbättrad resurshantering. Genom att använda teknologi för att minska resursförbrukningen och utsläppen kan företag bidra till en mer hållbar utveckling.
Samtidigt ser vi att ny teknik (kombinerat med världsläget) medför ökade risker. Cyberhot och sårbarheter ökar med den ökande användningen av uppkopplade enheter och molntjänster, vilket utnyttjas av hackers för att stjäla information eller sabotera verksamheter, och AI-relaterade risker inkluderar diskriminering och opacitet där felaktiga beslut från AI-algoritmer kan skapa negativa konsekvenser. Dessutom finns samhälleliga och etiska risker som kränkningar av medborgerliga fri- och rättigheter genom överdriven övervakning och användning av avancerad teknik såsom ansiktsigenkänning.
Givetvis måste denna utveckling regleras på något vis men det är en fin linje mellan ändamålsenlig reglering och utvecklingshämning. Samtidigt som EU vill vara och är en föregångare (och till och med trendsättare) inom reglering av den digitala marknaden höjs röster för att denna position skadar europeiska företags konkurrenskraft och hämmar digital utveckling.
För att förhindra att reglerna blir en stoppkloss är det viktigt att ha en holistisk förståelse för dem. Företaget måste identifiera nuvarande och framtida risker i verksamheten och hantera dem med hänsyn till riskernas allvarlighetsgrad och företagets förutsättningar i stort – vi brukar också kalla detta för ett riskbaserat arbetssätt där man tar medvetna riskbeslut. Det kräver samtidigt en djup förståelse för reglerna, dess syfte och den praktiska tillämpningen av dem. För att företagen ska kunna hitta och hantera riskerna och använda reglerna till sin fördel måste de engagera sig i kontinuerlig kunskapshöjning som genomsyrar hela organisationen, från ledningsnivå till den operativa verksamheten, liksom proaktiv och kontinuerlig riskbedömning och hantering. För de som inte avsätter tid och resurser för detta arbete ökar riskerna för angrepp, skador på varumärket liksom påföljder såsom sanktionsavgifter – och möjligheterna att nyttja tekniken på rätt sätt minskar. Det är orimligt att tro att alla företag kommer att ha sådana resurser och kunna besitta denna expertis och kompetens internt. Redan nu ser vi en diskrepans mellan utbud och efterfrågan på rätt kompetens – ett gap som troligtvis kommer öka – vilket kommer leda till ännu större utmaningar för företag som inte har stora resurser för att bygga upp en egen kompetens.
Det är också nödvändigt att diskutera EU:s och tillsynsmyndigheternas ansvar i detta sammanhang. Även dessa bör arbeta riskbaserat. Det kan ifrågasättas om reglerna bör tillämpas lika för alla företag, något som EU också uppmärksammat i teorin. I vissa fall tar nämligen lagstiftningen sikte på tekniken snarare än företagens storlek. I andra fall har reglerna i viss mån i stället anpassats efter storleken på företaget – både i form av lättnader på krav, särskild prioritering och undantag.
Det är samtidigt inte endast dessa faktorer som kommer ha betydelse vid implementationen av regelverken – branschspecifika behov kommer också behöva mötas och dessa kan ju kan variera avsevärt. Även om ambitionen på EU-nivå är god och man i vart fall i teorin har försökt lösa de tillämpningsproblem som kan uppstå återstår det att se om reglerna kommer appliceras på detta sätt i praktiken. På till exempel GDPR-sidan har det under flera års tid funnits kritik mot att regelverket inte har tillämpats på ett tillräckligt flexibelt sätt – vare sig när det kommer till vägledning eller tillsyns- och domstolsbeslut. Det är inte rimligt att alla företag dras över en kam och det är EU:s och ytterst tillsynsmyndigheternas ansvar att vägleda företagen och tillse att regelverken tillämpas på ett pragmatiskt och riskbaserat sätt utifrån flera faktorer – vilka produkter och tjänster företagen tillhandahåller eller utvecklar, storlek, bransch och tekniken i fråga.
Det är uppenbart att företag måste vara förberedda på den compliancestorm som är på väg och i stället för att känna sig tyngda över ökade krav se regelefterlevnad som en strategisk möjliggörare. Compliance är inte längre bara en fråga för vissa branscher – utan för alla som på något sätt rör sig inom den digitala sfären. Genom att engagera sig i kontinuerlig kunskapshöjning, proaktiv riskbedömning och samarbete kan företag navigera verkligheten på ett bättre sätt och säkerställa överensstämmelse med regelverken i en tid av snabb teknologisk utveckling och ökande reglering. Då kan compliance och digital governance också bli en strategisk fördel. Företagen bör samtidigt kunna förvänta sig att tillsynsmyndigheterna tar sitt ansvar genom pragmatisk vägledning och lyhörd regeltillämpning. Genom att uppnå denna balans kan vi säkerställa att företagen kan växa och utvecklas samtidigt som de uppfyller samhällets krav och förväntningar.
