Regeleksplosion – hvordan skal it-jurister gribe det an?

I de senere år har EU sat turbo på teknologireguleringen, og vi har fået en meget lang række retsakter, der enten er vedtaget eller ved at blive vedtaget. I realiteten startede denne bølge vel med databeskyttelsesforordningen (GDPR), men det har for alvor taget fart sig i de sidste par år med Data Governance Act, Digital Services Act, Digital Markets Act, NIS2-direktivet, DORA, AI Act og Data Act, hvoraf de første fem er vedtaget og de sidste to fortsat er under forhandling. Hertil kommer en eventuel ePrivacy forordning, hvis skæbne fortsat er ukendt, og en række andre reguleringsinitiativer, der er under forhandling, bl.a. Cyber Resilience Act, AI liability direktivet og nyt produktansvarsdirektiv.

Der er mange, og også gode, grunde til, at vi netop nu ser denne regeleksplosion i teknologireguleringen. Dette omfatter behovet for privatlivsbeskyttelse i den digitale tidsalder, inddæmning af techgiganterne og deres monopolpræget adfærd, risikoen for cyberangreb, samfundsmæssige værn med misinformation og de potentielle skadevirkninger ved ny teknologi, herunder skærmafhængighed, uhensigtsmæssig brug af AI mv. Samtidig må man efterhånden også blive bekymret for, om reguleringen er ved at blive så omfattende og kompleks, at ingen eller kun ganske få i realiteten kan overskue og gennemskue den – med den risiko for retssikkerheden dette indebærer.

Denne mere generelle bekymring bliver meget konkret, når man arbejder som it-jurist og dermed bliver mødt med forventninger om kendskab til netop denne type regler. For realiteten er jo nok, at ingen it-jurister i dag er i stand til at overskue alle disse nye regelsæt og have et mere indgående kendskab til dem alle. Hertil kommer der for mange nye regler på for kort tid, som er kendetegnet ved at være meget omfattende, ekstremt komplekse og med indbyrdes sammenhænge og overlap, der tilføjer et betydeligt lag af yderligere kompleksitet. Skal man hertil lægge afgørelser, vejledninger mv. for disse nye regelsæt i samme omfang, som vi har set med GDPR, kan man godt følge den tyske it-advokat, der som en kommentar til den nævnte udvikling indledte et meget delt LinkedIn-opslag med spørgsmålet »should I give up?«.

Det tror jeg ikke, at vi som it-jurister skal. Men der er utvivlsomt et behov for at overveje, hvordan vi metodisk griber denne udfordring an. Et godt udgangspunkt vil formentlig være en øget systematisering af de mange nye regelsæt og regler med udgangspunkt i de klassiske retsområder. It-retten har altid været tværgående i sin natur og fungeret i samspil med de mere klassiske vertikale retsdiscipliner. Det er i realiteten denne øvelse, som den nye generation it-ret står overfor. Øvelsen vanskeliggøres imidlertid af, at de nye regler etablerer helt nye retsdiscipliner. Der er således ikke blot tale om at fordele de nye regler i velkendte kasser men også om at identificere ny kasser. Når dette nye landkort er optegnet, kan man bruge det til at»mappe« de mange nye regelsæt op imod de enkelte retsdiscipliner (hvorved man vil konstatere, at de enkelte regelsæt indeholder regler fra forskellige retsdiscipliner). Hermed vil der være skabt et udgangspunkt for, at den enkelte it-jurist kan vurdere, hvilke dele af de mange nye regler, den pågældende særligt skal koncentrere sig om. Jeg håber at kunne give mit eget bud på et sådant overblik i et af de kommende numre af Lov&Data men håber, at andre læsere også vil give deres bud– alternativt måske et helt andet bud på, hvordan vi håndterer regeleksplosionen. Eller skulle vi spørge ChatGPT?