Fremtidens IT-kontraktret
Der bliver i disse år sat handling bag EU’s ambition om digital uaf- hængighed og visionen om at EU i fremtiden skal være en regulatorisk supermagt. Med introduktionen af ny lovgivning, der adresserer både beskyttelse af den digitale forbruger, platformsøkonomier, digitale ret- tigheder og nye teknologier, bevæger IT-retten sig for alvor fra at handle om anvendelsen af traditionel lov- givning i det digitale rum til selv- stændig lovgivning, der udspringer af de digitale udfordringer. Således er eksempelvis EU-Kommissionens forslag til en ny AI-forordning, Digi- tal Services Act, Platformsordnin- gen og New Deal for Consumers lovgivning, der specifikt er reaktio- ner på og er rette mod problemstil- linger i det digitale rum.
Denne lovgivning får stor betyd- ning for IT-jurister i alle EU’s Med- lemsstater og i EØS-landene. Dette er ikke mindst tilfældet i de skandi- naviske lande, der er gennemdigitali- serede og hvor den private sektor og store dele af den offentlige IT-infra- struktur er afhængig af nationale og internationale IT- leverandører. Med den massive mængde ny lovgivning, der introduceres i et hidtil uset højt tempo, vil IT-juristen i fremtiden ind tage en endnu mere central rolle i det digitale rum.
IT-juristens force har alle dage været, at kunne koble den generelle og sektorspecifikke jura med tekno- logien. Denne evne kommer i endnu højere grad til at være en forudsætning for at kunne navigere i fremtidens IT-ret.
En kompleks og udfordrende fremtid
Et aktuelt eksempel der indvars- ler kravene til den tekniske kunden hos fremtidens IT-jurister er den praksis, der er ved at udvikle sig i kølvandet på Schrems II afgørelsen. Sagens kerne, nemlig, at europæiske borgeres personoplysninger ikke er tilstrækkelig juridisk beskyttet over for myndighederne i USA, lader sig i sagens natur ikke let løse. Derfor ser vi også, at både EDPB og de lokale datatilsyn overlade det til teknolo- gien at løse det grundlæggende juri- diske problem gennem krav om brug af supplerende foranstaltnin- ger til at afhjælpe konsekvenserne af de juridiske udfordringer.
Det danske Datatilsyn udgav i marts 2022 en vejledning om anven- delse af cloud tjenester i forbindelse med behandling af personoplysnin- ger. Baseret på EDPBs tidligere an- befaling adresserer vejledningen blandt andet de problemstillinger, der knytter sig til overførsel af per- sonoplysninger til tredjelande og særligt USA. Som et eksempel på ovenstående opstiller tilsynet i vej- ledningen en række scenarier for brug af cloud-tjenester og kommen- terer på de forhold, der bør overve- jes af myndigheder og virksomhe- der. Det er i den forbindelse illustra- tivt, at det ifølge vejledningen er påkrævet, at myndigheder og virk- somheder har en meget detaljeret forståelse af de tekniske sikkerheds- foranstaltninger, der kan anvendes i forbindelse med overførsel af per- sonoplysninger, for i praksis at kun- ne vurdere, hvorvidt myndigheden eller virksomheden faktisk overhol- der persondataretten. Eksempelvis vil en myndighed eller virksomhed efter omstændighederne skulle have en dyb forståelse af, hvordan de nøgler, der anvendes til kryptering af data håndteres samt hvorvidt myndighederne i et tredjeland må antages at kunne bryde en given form for kryptering.
Tilsvarende tekniske og normba- serede regler gør sig også gældende i meget af EU’s kommende regule- ring af det digitale rum. Eksempel- vis indeholder EU-Kommissionens udkast til en ny AI-forordning, krav om risikovurdering, transparens og dokumentation ved markedsføring og idriftsættelse af AI-systemer, der stiller store krav til virksomhedernes tekniske kompetencer. I denne for- ordning er det også op til myndighe- der og virksomheder selv at vurdere i hvilket omfang de tekniske normer, der opstilles i lovgivning og praksis er opfyldt ved brugen af konkrete digitale tjenester og teknologier.
Behov for nye kompetencer og værktøjer
I en fremtid med langt mere om- fattende og kompleks regulering af det digitale rum vil IT-juristens force stadig være at koble juraen med tek- nikken. Dog vil fremtidens IT-jurist i endnu højere grad skulle navigere i det teknologiske landskab og have en så dyb forståelse af de teknologier, der er genstand for regulering eller udgør de midler hvormed reglerne kan overholdes. Fremtidens IT-ret bygger på dynamiske teknologiske normer og standarder, for hvad der eksempelvis udgør tilstræk- kelige sikkerhedsforanstaltninger eller foranstaltninger mod ulovligt indhold. At have fingeren på pulsen i forhold til den teknologiske udvik- ling er derfor i fremtiden en forud- sætning for fortolkning af loven.
