Historisk set har jurister været berømte/berygtede for at skrive og tale så ingen andre kan forstå det, og i øvrigt ikke være særligt gode til at sætte sig ind i andre fagområder. Og omvendt er det vist ingen overdrivelse at sige, at it/tech-folk historisk set ikke har været synderligt interesseret i juraen og dens medfølgende begrænsninger for innovation og agilitet.
I dette indlæg vil jeg give mit bud på, hvorfor dette er ved at ændre sig.
Stigende regulering af tech
Der er ingen vej udenom at digitale teknologier bliver underlagt mere og mere lovgivning i disse år og i fremtiden. Vil man vide mere om hvorfor og hvordan, kan man læse mine forrige indlæg:
Reglerne har forskellig karakter og nogle er stadig i udkast-stadiet, men klikker man ind på Kommissionens hjemmeside, er det tydeligt at langt de fleste teknologier vil blive reguleret, herunder data, Cloud/Edge, IoT, AI, ansigtsgenkendelse, online platforme, Blockchain mv.
Ovenstående kommer oveni eksisterende regulering såsom GDPR, NIS-reglerne (cybersikkerhed) mv., som gælder på tværs af de nævne teknologier.
Move fast and don’t break things
Men den stigende regulering er faktisk kun én af flere tendenser, som nødvendiggør et stigende fokus på emner såsom databeskyttelse og cybersikkerhed i forbindelse med udvikling af digitale løsninger. Parallelt hermed ser vi nemlig også at borgere og kunder i stigende grad har fokus på ansvarlig anvendelse af deres data, og som følge heraf er mediernes opmærksomhed også stigende. Dette er nok også forklaringen på, at et hold danske forskere har fået 100 mio kr til “ADD-projektet”, hvis vision er “at Danmark om ti år er et foregangsland i forhold til befolkningens digitale indsigter og sikringen af demokratiske værdier og legitimitet i den konkrete udvikling af algoritmer og databrug i samfundets bærende institutioner og beslutningsprocesser.”
For ganske få år siden var "GDPR" og "compliance" nærmest at betragte som et skældsord IT- og tech-branchen. Denne opfattelse var forståelig nok, men det er vigtigt at have huske på, hvor stejl en læringskurve vi alle har været igennem de seneste år - selvom vi har haft regler om databeskyttelse i 50 år, startede de fleste fra 0 i 2018...
Min opfattelse er, at denne udviking er ved at vende. Som ITB’s direktør skrev for nogle uger siden:
“GDPR har til tider været en elefant i en glasbutik eller skudt langt over mål. Men de seneste års stigende bevidsthed om databeskyttelse har vist, at fremtiden tilhører de virksomheder, som forstår at beskytte data.”
Det er og bliver nok et emne, som deler vandende, men jeg synes, at dette citat fra en Leder i Forbes Magazine i 2018 skrevet af en CTO og medlem af Forbes Technology Council indrammer budskabet meget godt:
"All around us, speed seems to be the metric by which we measure successful companies. But the truth is, many companies don’t have to make a trade-off anymore. There are ways that they can have it all -- move fast and be responsible...It’s easy to get caught up in the day to day of product development and inadvertently deprioritize things like privacy. Movements like DevSecOps are helping bring a focus to security, but it's important to ensure data security and privacy stay top of mind. Even when it’s for something as simple as a tweak to a feature, take the time then to consider cause and effect on users and data. It’s far easier to make changes at this stage than weeks or even years into production."
Taler jurister og IT-folk egentlig samme sprog?
Det er mit indtryk, at der er plads til forbedring i samarbejdet mellem jurister og dem der arbejder med digitale løsninger i praksis. Mange har en opfattelse af, at jurister i udgangspunktet siger "nej!", når de bliver spurgt til muligheden for at benytte en ny teknologi. Eller også nøjes vi blot med at redegøre for juraen, og overlader det til at de IT-kyndige at finde ud af, hvad retsstillingen er for en given teknologi. Og omvendt har jurister nok en opfattelse af, at dem der arbejder med digitale teknologier, gør alt hvad de kan for at styre udenom juraen og dens medfølgende begrænsninger.
Men i en fremtid med stigende regulering af digitale teknologier, er vi nødt til at opnå et bedre samarbejde mellem de to fløje:
Vi kan kun finde holdbare løsninger på Schrems-krisen og de stigende krav til Cloud Compliance, hvis lovgivere, dommere, myndigheder og rådgivere har en vis forståelse for, hvordan et globalt cloud-setup fungerer.
Og digitale løsninger kan kun leve op til lovkrav om Privacy og Security by Design, hvis udviklere, CTO’er, Product Owners mv. har en grundlæggende forståelse for de juridiske spilleregler for netop deres løsning.
Det samme gælder GDPR’s og den kommende AI Acts krav om gennemsigtighed og oplysningspligt: Det er utopisk at opnå “Explainable AI", hvis jurister og tech-folk holder sig i hver sin osteklokke.
Og sådan kunne man blive ved ift. data governance, bias, Forvaltningsret by Design, blockchain, Smart Contracts osv.
Samlet set må konklusionen være, at den juridiske verden og den tekniske verden er nødt til at "mødes på midten", hvilket i sagens natur kræver at begge sider flytter sig og bliver bedre til at samarbejde.
Et mere agilt retssystem?
Hvis vi først ser på lovgiverne, så har den historiske opfattelse været, at teknologien udvikler sig alt for hurtigt til at lovgivningen kan følge med. Eric Schmidt fra Google udtalte fx i et interview med The Washington Post i 2011 følgende:
“High tech runs three-times faster than normal businesses. And the government runs three-times slower than normal businesses. So we have a nine-times gap.”
Siden da har lovgivere i såvel Danmark som EU dog arbejdet på at indhente teknologien, eksempelvis ved at gentænke den måde man lovgiver på.
Eksempelvis benytter EU sig i stigende grad af den lovgivningsteknik, man kalder “co-regulation”: Det går ud på, at lovgiverne samarbejder direkte med relevante brancher, både i fom af input under lovgivningsprocessen, og ved at lovgiverne faciliteterer/understøtter at branchen selv udarbejder adfærdskodekser, certificeringer mv.
Et eksempel fra den første kategori er udkastet til AI Act, som er resultatet er adskillige års indgående dialog med branchen og diverse former for tekniske eksperter, herunder i form af den såkaldte High Level Expert Group on AI samt EU AI Alliance.
Udkastet til AI Act ingeholder også eksempler fra den anden kategori, idet det lægger op til, at de generelle principper i forordningen på sigt skal suppleres af mere agile former for regulering udarbejdet af branchen selv/folk med teknisk ekspertise, fx ”Harmonized standards”, ”Certifications”, ”CE marking” og ”Codes of Conduct”. Den samme tilgang har vi også set anvendt i Cybersecurity Act (ENISA er på vej med en EU cybersikkerheds-ceritfikat) og GDPR (EDPB godkendte for nyligt to adfærdskodekser udarbejdet af aktører fra cloud-branchen, som konkretiserer GDPR’s generelle krav og gør dem operationelle for cloud-udbydere).
Danske lovgivere har pt. begrænset indflydelse på regulering af den digitale verden, men der er også positive takter at spore her. Eksempelvis indgik samtlige partier i Folketinget i januar 2018 aftale om
"digitaliseringsklar lovgivning", hvilket indebærer, at lovgivningen i videst muligt omfang skal udformes i overensstemmelse med de syv principper for digitaliseringsklar lovgivning.
Juristerne er på rette vej
Historisk set har interessen for teknologi blandt jurister været til at overse. Også her synes der dog at være positive takter. Jura-uddannelserne har i disse år fokus på at klæde kommende generationer af jurister bedre på til at samarbejde med andre faggrupper, herunder særligt IT-folk. Jura-udannelserne har i årtier har haft kandidatfag for "nørderne" (fx. faget "IT-ret", som jeg selv har undevist i siden 2010), men de seneste år er man begyndt at oprette bredere fag med fokus på at brede den tekniske forståelse mere ud, fx med oprettelse af fag med titler såsom “Teknologiforståelse for jurister”, "DigiLaywer" og "Jura og teknologi".
Fremtidige generationer af jurister vil således være klædt bedre på til at forstå og arbejde med tech, men allerede i dag skal jurister i forvaltningen forsøge at følge med den hastige ibrugtagning af nye teknologier: Man kan blive helt forpustet når man læser KL’s (i øvrigt fremragende!) Teknologiradar, men heldigvis har dygtige folk skrevet en ny bog med titlen "Fra forvaltningsjurist til udviklingsjurist", der netop her fokus på at klæde forvaltningsjuristerne på til at forstå de nye teknologier samt blive bedre til at kommunikere med andre faggrupper såsom It-folk. Endelig ser vi også at juridiske kursusudbydere såsom DJØF er begyndt at udbyde kurser med titiler såsom "It og teknologiforståelse" med professor i datalogi Thomas Hildebrandt som underviser.
Sidst men ikke mindst har vi set en række myndigheder og tilsyn gøre en indsats for at formidle juraen på en måde, så andre end juristerne kan være med.
Prøv fx at se Erhvervsstyrelsens sider www.brugdata.dk og www.nyeforretningsmodeller.dk. Her man at formidle de juridiske rammer for et givent område/forretningskoncept i et sprog, hvor ikke-juristerne kan være med.
I andre lande har vi også set datatilsyn lave vejledninger om Privacy by Design skrevet i samarbejde med og til softwareudviklere (fx i norske datatilsyns vejledning fra 2017 og en 2020 vejledning fra det franske tilsyn, som de endda har gjort sig den ulejlighed at ligge på GitHub).
Nogle tilsyn har også lavet "sandboxes" med fokus på at samarbejde med branchen ift. at sætte de juridiske rammer for nye teknologier såsom AI, fx det norske datatilsyn og UK's ICO.
Der er også enkelte datatilsyn, som er begyndt at erstatte nogle af jurist-stillingerne med Cloud Specialists, Data Scientists osv. for at få den nødvendige tekniske ekspertise internt. Det kræver ressourcer (hvad det danske tilsyn ikke har), men jeg tror personligt, at det ville hjælpe med til at nedbryde siloerne mellem regulering og den digitale verden.
Hvad med IT-folket?
Jeg fornemmer også en stadigt stigende interesse for jura og compliance hos rigtig mange it-folk. Der synes at være et stigende antal artikler og indlæg om juridiske emner i Version2, Computerworld, Altinget mv. og tidligere på året så tidsskriftet “ComplianceTech”. Jeg er også selv involveret forskellige former for formidling af disse emner, fx i form af denne blog, IDA's netværk for databeskyttelse samt et spritnyt netværk målrettet CTO'er og andre teknologianvsarlige kaldet "Compliance & Innovation" faciliteret af Technology Denmark.
Mit indtryk er dog, at billedet ikke er entydigt, og mange ser stadig primært jura som en begrænsning. Hvad man jo godt kan forstå, da det netop er en af hovedformålene med regulering at sætte begrænsninger...
Men jeg er nysgerrig på at høre, hvad opfattelsen er derude: Afspejler de forskellige It-uddannelser mere fokus på juraen? Oplever I et stigende behov for at sætte jer ind i relevante regler for at kunne udføre jeres arbejde? Hvis ja, hvor finder I så jeres viden? Hvor er der stadig plads til forbedring i formidlingen af juraen? Og er I lige så optimistiske som jeg ift. om lovgiverne rent faktisk kan lykkedes med at kombinere grundig og velskrevet lovgivning (= langsommelig) med mere agile reguleringsformer i samarbejde med branchen?

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.