Dette indlæg er alene udtryk for skribentens egen holdning.

Cloud, cookies og sikkerhed: Her er status på EUs største tech-initiativer

5 kommentarer.  Hop til debatten
Cloud, cookies og sikkerhed: Her er status på EUs største tech-initiativer
Illustration: Fred MARVAUX / Nanna Skytte / Sara Rønnow Sejtzer Herlet.
Blogindlæg17. januar kl. 03:45
errorÆldre end 30 dage

Jeg har i tidligere indlæg i min blog fremsat et budskab om, at vi nok må forvente at digitale teknologier i stigende grad bliver underlagt lovregulering. Se bl.a. disse indlæg:

Jesper Løffler Nielsen er advokat og PhD med speciale i tech-jura.

I et efterfølgende indlæg har jeg også advokeret for, at denne udvikling nødvendiggør et bedre samarbejde mellem dem som fastsætter og fortolker reglerne (primært jurister) og dem som arbejder med teknologierne i praksis.

Her i starten af et nyt år fandt jeg det derfor relevant lige at gøre status, og i det følgende kan du derfor læse en kort opsummering af status for regulering af digitale teknologier, med særlig fokus på EU's (mange!) tiltag på området:

Data (-økonomien)

EU har de seneste år iværksat en lang række initiativer med henblik på at forsøge at skabe mere klare og tidssvarende juridiske rammer for deling og udnyttelse af data. Som eksempler på regler, som allerede er trådt i kraft, kan bl.a. nævnes Open Data-direktivet samt Databeskyttelsesforordningen (GDPR).

Artiklen fortsætter efter annoncen

Selvom mange ikke er klar over det, så blev GDPR også indført med henblik på at skabe fri bevægelighed for persondata på tværs af EU's grænser på samme måde som vi kender det fra varer, tjenesteydelser, arbejdskraft mv. Eftersom GDPR kun omfatter personhenførbare oplysninger, vedtog EU i 2018 også en kortfattet forordning med det ene formål at sikre samme frie bevægelighed for andre typer af data, nærmere bestemt "Forordning om fri bevægelighed for ikke-personhenførbare data".

EU's fokus på fri bevægelighed for data var bl.a. begrundet i en erkendelse af, at data udgør den måske væsentligste ressource for EU's fremtidige vækst. Da EU Kommissionen fremsatte sin "Data strategi" i februar 2020, var det primære fokus da også på at skabe de bedst mulige juridiske rammer for den såkaldte "data-økonomi", herunder at understøtte udnyttelse af nye teknologier såsom cloud, IoT, blockchain og AI.

I kølvandet på strategien blev der iværksat endnu flere lovgivningsinitiativer, og i december 2021 blev der opnået politisk enighed om ordlyden til en såkaldt "Data Governance Act". Der mangler stadig nogle formalia inden forordningen anses for formelt vedtaget, men på Rådets hjemmeside kan man bl.a. læse følgende i en pressemeddelelse af 15. december 2021:

"Med forordningen om datastyring (datastyringsforordningen) indføres robuste mekanismer, der kan lette videreanvendelsen af bestemte kategorier af beskyttede data fra den offentlige sektor, øge tilliden til dataformidlingstjenester og fremhjælpe dataaltruisme i hele EU. Det er en vigtig bestanddel af den europæiske strategi for data, som har til formål at styrke dataøkonomien, øge velstanden og trivslen og give Europa en konkurrencefordel til gavn for borgerne og virksomhederne."

I samme pressemeddelelse kan man også læse mere om de emner, som forordningen regulerer, herunder:

  • Mere udstrakt videreanvendelse af beskyttede data fra den offentlige sektor

  • Ny forretningsmodel for dataformidling

  • Dataaltruisme til gavn for samfundet

  • Let identifikation af tjenesteudbydere

  • Der vil blive oprettet en ny struktur, Det Europæiske Datainnovationsråd, som blandt andet skal rådgive og hjælpe Kommissionen med at fremme dataformidlingstjenesternes interoperabilitet og udstikke retningslinjer for, hvordan dataområder kan udvikles.

  • International adgang til og overførsel af andre oplysninger end personoplysninger

Og som om det ikke var nok, er EU Kommissionen også lige på trapperne med en såkaldt "Data Act", der bl.a. har til formål at sikre mere klare retningslinjer for kommercielle rettigheder til data. Dermed er en del af formålet at opdatere det nu forælderede "databasedirektiv" fra 1996. På baggrund af en netop gennemført høringsrunde (Impact Assesment), er der indikationer på, at regelsættet også vil have fokus på de juridiske rammer for datadelingsaftaler samt blockchain-understøttede Smart Contracts.

Cloud Computing

EU har haft en officiel strategi for cloud siden 2012., og nogle af de initiativer, som allerede er nævnt ovenfor, har også udbredelsen af cloud som en del af målsætningen. Det gælder eksempelvis for "Forordning om fri bevægelighed for ikke-personhenførbare data".

Dernæst varslede Kommissionen i deres data strategi fra februar 2020 en række yderligere tiltag, herunder:

“Invest in a High Impact project on European data spaces, encompassing data sharing architectures (including standards for data sharing, best practices, tools) and governance mechanisms, as well as the European federation of energy-efficient and trustworthy cloud infrastructures and related services, with a view to facilitating combined investments of €4-6 billion, of which the Commission could aim at investing €2 billion."

og 

"Launch a European cloud services marketplace, integrating the full stack of cloud service offering, Q4 2022"

De første skridt i retningen mod opbygning af en "EU cloud markedsplads" er efterfølgende blevet taget, idet 25 EU-lande i slutningen af 2020 underskrev en fælles erklæring om at samarbejde om udviklingen af "the next generation of cloud in Europe", hvilket bl.a. handler bl.a. om at sikre fælles investeringer og samarbejde om opbygning af en "federated cloud". Meget tyder på, at det bl.a. var Gaia X-projektet man her havde i tankerne, men det projekt synes pt. at være ramt af udfordringer, bl.a. som følge af alt for store ambitioner og for mange kokke. 

Af Kommissionens datastrategi fremgik også, at de senest i Q2 2022 laver en samlet "EU Cloud Rulebook", som bl.a. kommer til at indeholde de førnævnte adfærdkodekser og certificeringer. Det endelige indhold af EU's "Cloud Rulebook" kendes endnu ikke, men følgende adfærdskodekser vil formentlig være omfattet:

Det bemærkes, at de to sidstnævnte, er blevet formelt godkendt af Databeskyttelsesrådet/EDPB efter GDPR artikel 40, og dermed skulle vejen nu være banet for en mere ensartet opfattelse af, hvad der er "nok" dokumentation i relation til cloud-udbyderes forpligtelser som databehandlere.

Endelig arbejdes der også på en fælles EU ceritficeringsordning for cybersikkerhed kaldet "European Cybersecurity Certification Scheme for Cloud Services". Initiativet blev taget af EU-Komissionen i 2017, der efterfølgende har overladt ansvaret med at opbygge ordningen til ENISA.

Cookies

I Danmark findes reglerne om cookies pt. i den såkaldte "cookiebekendtgørelse", som har rødder i et EU-direktiv kaldet "ePrivacy-direktivet". Direktivet, som første gang blev vedtaget i 2002, handler dog om meget andet end cookies - rent faktisk er cookies alene en bisætning i reglerne (artikel 5, stk. 3).

Reglerne har været under revision siden 2017, hvor Kommissionen fremlagde et udkast til en ny "ePrivacy-forordning", som bl.a. lægger op til stramninger i relation til håndhævelse og bøde niveau. Regelsættet handler dog som nævnt om meget andet end cookies, og der er store lobbyisme-kræfter på spil (fordi online-tracking er en af verdens mest profitable industrier), så indtil videre er det ikke lykkedes at få endeligt vedtaget en revision af reglerne. Forhandlingerne er dog efterhånden så fremskredne, at det ikke er urealistisk at vi i 2022 langt om længe får vedtaget en endelig udgave af forordningen.

I mens vi venter på revisionen sker der dog lidt, da vise EU-landes tilsyn rent faktisk er begyndt at håndhæve de gældende regler, eksempelvis de to spritnye kæmpebøder til Google og Facebook. Også det danske Datatilsyn er så småt begyndt et håndhæve GDPR i relation til cookies, eksempelvis i DMI-sagen. Men håndhævelsen af selve cookiereglerne (ePrivacy-direktivet) ligger i Danmark hos Erhvervsstyrelsen, der gør det modsatte af at håndhæve i form af en udmelding om “frit lejde” for statistikcookies. Men denne udmelding blev så, til en vis grad, modsagt af Datatilsynet, så nu står vi (igen) tilbage med uklarhed på dette område. Dansk Erhverv er på sagen og arbejder i samarbejde med Datatilsynet på at skabe klarhed.

Dette er i øvrigt et godt bevis på, hvorfor vi skal have vedtaget den nye forordning, idet vi derved forhåbentlig også opnår, at håndhævelsen lander hos samme myndighed som håndhæver GDPR og derved undgår flere “Clash of the Tilsyn”.

AI

Et andet emne, som EU har beskæftiget sig med i adskillige år efterhånden, er kunstig intelligens / AI. Helt tilbage i 2017 opfordrede Rådet til Kommissionen "to put forward a European approach toartificial intelligence by early 2018”. Siden da har samtlige organer i EU offentliggjort en lang række tiltag med fokus på AI, og i det følgende skal blot fremhæves den seneste og væsentligste udvikling på området:

  • April 2021: EU-Kommissionen fremsætter en samlet pakke indeholdende et udkast til specifik regulering af AI ("AI Act"), og offentliggør samtidig en opdateret strategi ("Coordinated Plan for AI") samt et udkast til revision af krav til maskiner og robotter med henblik på specifik regulering af AI-applikationer.

  • Oktober 2021: EU Kommissionen iværksætter høringsproces med henblik på at tilpasse regler om produktansvar til en fremtid med AI.

  • Oktober 2021: Parlamentet vedtager resolution med fokus på brug af AI ifbm. retshåndhævelse.

EU's ambitiøse og meget brede tilgang til regulering af AI har mødt modstand, og eksempelvis har vores kære venner i UK udnyttet Brexit til at vælge en mere "innovationsvenlig" tilgang til regulering på dette område. Det må forventes, at vi i løbet af 2022 får afklaret, hvorvidt der kommer til at ske væsentlige ændringer ift. det udkast EU Kommissionen har fremlagt.

Online platforme

Et andet hovedområde for EU's aktuelle reguleringsbølge med fokus på den digitale verden, er online platforme. Sager såsom Cambridge Analytica, Brexit samt Donald Trumps udnyttelse af sociale mediers algoritmer har skabt stor bevågenhed på de sociale medier. Hertil kommer, at både de store sociale medier, og andre store platforme såsom Amazon, Wolt osv. har vist en række andre skyggesider, herunder som følge af en tendens til den magt som bliver koncentreret hos nogle ganske få tech-virksomheder.

De seneste par år har dette fokus bl.a. ført til vedtagelse af Platform-to-business forordningen (2019), samt fremsættelse af forslag til en Digital Services Act og en Digital Markets Act (begge fremsat i ultimo 2020 - endnu ikke vedtaget).

Som om det ikke var nok, er der muligvis yderligere tiltag på vej. Eksempelvis er EU Kommissionen pt. ved at afdække behovet for at indføre yderligere regler til beskyttelse af såkaldte "gig-workers", fx Wolt-bude og HappyHelper-rengøringsfolk mv.

Blockchain

Også blockchain er et område, hvor EU har stor fokus. Indtil nu har de fleste tiltag ikke haft lovgivningsmæssig karakter, men der er dog taget enkelte skridt i denne retning, herunder i form af:

  • Forhandlinger om oprettelsen af en digital euro

  • En "regulatorisk sandkasse"

  • Et konkret forslag til en forordning om "kryptoaktiver"

Også på dette område er der varslet yderligere fremskridt og afklaring i løbet af 2022.

IoT / Connected Devices

Stort set alt i vores samfund bliver i disse år forbundet til internettet, og i takt hermed stiger cybertruslen også. Det er er derfor heller ikke overraskende, at IoT (eller "Wireless Devices") også har modtaget politisk opmærksomhed i EU.

Dette er dels sket i kraft af en nylig revision af det såkaldte "radioudstyrs-direktiv" i oktober 2021, og så har EU også varslet en såkaldt "Cyberessilience Act", som antageligvis bl.a. vil sikre en fælles EU tilgang når det gælder cybersikkerhed i produkter. I denne forbindelse bemærkes, at vi i Danmark allerede har fokus på dette område, idet Dansk Standard har taget initiativ til en spritny guide om samme emne, og her kan man således finde inspiration, i hvert fald indtil EU vedtager en harmoniseret tilgang.

Cybersikkerhed i øvrigt

Flere af ovennævnte tiltag har haft cybersikkerhed i som et af fokusområder, men EU har også iværksat en række tiltag, som går på tværs af forskellige teknologier, herunder:

  • EU vedtog i 2019 en Cybersecurity Act, som har til formål at styrke EU's indsats og samarbejde ift. cybersikkerhed.

  • I 2020 vedtog EU en ny Cyber Security Strategy, som igen understreger behovet for yderligere fokus og regulering på området.

  • Af samme årsag fremsatte EU-Kommissionen i slutningen af 2020 et forslag til et revideret NIS-direktiv.

  • Endelig er der som nævnt ovenfor under "IoT" også varslet en såkaldt "Cyberessilience Act", som øjensynligt vil have et bredere sigte end blot IoT-produkter. Det er dog endnu uvist, da der endnu ikke er fremsat et formelt udkast endnu.

Opsamling

Således opmunteret - jeg tror ikke, at jeg løber tør for emner til min blog om "techjura" lige foreløbigt...

Hvis du har forslag til emner, som du gerne vil have taget op i et kommende blogindlæg her i 2022, så skriv det gerne i kommentarfeltet.

5 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
20. januar kl. 13:30

...for et rigtig godt overblik!

2
18. januar kl. 07:59

fremragende gennemgang.

meget gerne en uddybning af cloud problematikken/schremsII. findes der en lovlig måde at bruge amerikanske udbydere (altså dem med juridisk hovedkvarter i usa) på og hvis ikke, kommer det så og hvordan? og er der enighed om den måde at gøre det på?

eller går vi i retning af det, som de svenske myndigheder peger på i denne rapport dataethics.eu/da (møgirriterende at man ikke kan dele et link herinde, Version2) hvor de opfordrer svenske off instanser til at finde alternativer til amerikanske tjenester

1
17. januar kl. 11:50

+1