Cloud: America innovates, China replicates, Europe regulates
Påståendet är självklart ingen vedertagen sanning, men ingen rök utan eld! Jag är av uppfattningen att många är beredda att skriva under på att alla regelverk som träffar ny teknik och nya synsätt kan, möjligen på grund av att det krävs egna ställningstaganden till hur regelverket kan och bör tolkas, utgör ett hinder för att snabbt och enkelt ta till sig ny teknik.
Senior it-rättsjurist & informationssäkerhetskonsult
Är det så att otydliga regelverk och möjligheten att tolka reglerna på olika sätt uppfattas som ett hinder, i stället för att utgöra en möjlighet? Frågar vi oss “Kan vi”, i stället för “HUR ska vi göra för att...”? Ser vi “risken” att tolka “fel”, som större än nyttan som kan åstadkommas?
Regelverk och efterlevnad av dessa är självklara ”check in the box” punkter när en verksamhet ska implementera nya lösningar, inte minst it-lösningar!
Vi ser en mängd regleringar från EU - såsom GDPR, NIS2 direktivet, CER direktivet, AI-Act, Cyber Recilience Act, bara för att nämna några, som ställer krav på, men också identifierar områden som måste beaktas av de som önskar använda tjänster i en allt mer digitaliserad värld.
Förmågan att upprätthålla Cyberssäkerhet har blivit en alltmer påtaglig uppgift
Adderar vi perspektivet EU Digital Decade 2020-2030, EU’s huvudprogram för digitalisering som, förenklat, säger att det som kan digitaliseras ska digitaliseras - men säkert, kommer krav från två håll – Digitalisera så mycket det går, men inom ramarna för det regelverk som finns och kommer.
Det är i det perspektivet många verksamheter sannolikt behöver se över vilka lösningar som står till buds för att uppnå, inte bara krav och önskemål från den egna verksamheten, utan också krav från EU, Stat och andra organisationer, som NATO.
Utmaningen är ofta att det sällan finns svart/vita svar om hur och vad man som verksamhet faktisk kan göra och vad regelverken tillåter.
I de flesta fall krävs att verksamheten som del av beslutsprocessen gör en egen bedömning, baserad på vad man vill göra och hur regleringarna på det aktuella området ser ut.
Lagstiftningen är sällan binär, lagstiftaren behöver många gånger, för att få den räckvidd för regleringen som önskas, skapa skrivningar som ger möjlighet och utrymme för tolkningar. Betänk att vi hela tiden håller oss inom ramen för lagstiftningen, men likväl finns en ”bakkant och en framkant” av hur lagstiftningen kan tolkas.
En verksamhet som söker nya möjligheter och har konkreta behov av en viss lösning, kanske både för att möta kundkrav och regulatoriska krav, väljer en tolkning som ligger i framkant, fortfarande inom lagens råmärken. Här finns inte sällan ett mått av resonemang kring nytta och risk när bedömningarna görs. Verksamheten ställer inte frågan ”kan vi göra detta” utan ”hur kan vi göra för att åstadkomma det vi vill”. Här återfinner vi många av de som väljer Cloudlösningar för sina satsningar, det kan vara av skäl som ökad säkerhet, få tillgång till innovativa AI-förmågor, ökad skalbarhet - för att nämna några skäl.
Gemensamt för dessa aktörer är att många återfinns i privat sektor och att det finns beslutsfattare som av många skäl väljer, eller ser nödvändigheten i att använda Cloud, om inte till allt, så till där det gör mest nytta sett till risk, och tar tydliga beslut om sina vägval.
I andra änden av tolkningsutrymmet, bakkant, förefaller många gånger offentlig sektor falla in.
Inte för att behovet av innovation eller verksamhetskrav är mindre, snarare tvärt om. Digitaliseringsenheter och it-enheter vill och behöver verkligen anamma nya möjligheter och ny teknik, men för att otydligheten i hur lagar och regleringar kan och ska tolkas, blir ett oöverstigligt hinder.
Juridiska frågeställningar tenderar att hanteras utifrån frågeställningen ”Kan vi göra detta?”, en frågeställning som inbjuder till svar av typen JA, eller NEJ, inte det nödvändiga användandet av det tolkningsutrymme som lagstiftaren faktiskt tillhandahåller.
Många gånger, och här utmanar jag, skapar denna otydlighet i regelverk och möjligen ovana i offentlig sektor att resonera kring nytta och risk – inom lagens ramar, en grund för att välja bort ny teknik av rädsla för att göra tolkningar som gör att man blir ifrågasatt. ”Better safe than sorry”, förståeligt, men det kan vara hämmande för verksamhetens utveckling!
Detta är inte en bra grund för att föra nödvändig utveckling framåt, oavsett vad vi pratar om.
Genom att se på frågeställningarna ur perspektivet “Hur kan vi göra”, kan vi förena verksamheternas behov, med den kompetens som finns i de juridiska enheterna att identifiera och tillämpa framåtlutade tolkningar!
Den som ligger i framkant i sina tolkningar och bedömningar, kommer också var den som snabbast kan dra nödvändig nytta av ny teknik och nya rön.
Kan man göra fel? Absolut kan det bli fel!
Det är en av grunderna i vårt rättssystem, att ett beslut kan prövas och vid behov leda till att fel måste åtgärdas.
Den största risken för offentlig sektors digitalisering, är inte att det saknas idéer och uppslag på vad verksamheterna vill, utan svårigheterna att lotsa verksamhetens behov i hamn till beslut, via och med stöd av juridiken och säkerhetsfunktioner.
Ta hjälp av en partner som har helhetsperspektivet och kompetensen för att kunna bistå och utmana er på vägen framåt i digitaliseringen till molnet, i molnet eller den hybrida miljön!