IT-Gruk 12/2023: Regulering av smartere hverdager – beskytte eller innovere?

For at ting skal kobles til Internett, så trenger vi IP-adresser. Da jeg begynte å jobbe med IT-juridiske problemstillinger etter siste tusenårsskifte var en av problemstillingene som dukket opp knyttet til overgangen mellom IPv4 og IPv6. IPv4 er protokollen som gir oss adresser på Internett basert på 32-bit. Vi kjenner det igjen i form av adresser som ‘195.88.55.16’ (i dette tilfelle vg.no). Utfordringen med IPv4 er at den er begrenset til 4 294 967 296 unike adresser. Jeg kan vagt huske at enkelte teknologer snakket om mangelen på IP-adresser som en begrensning når alle husets enheter ville ha sensorer, slik som kjøleskapet som skulle ha oversikt over varene og når de gikk ut på dato. Det fremstod den gang som relativt utopisk i mine øyne, men mangelen på IP-adresser var reell rundt 2010.

Spol frem til 2020-tallet og selv om IPv4 fortsatt er rådende, så har IPv6 blitt innført for å øke tilgangen til IP-adresser. IPv6 er mer avansert og vil i praksis gi et uendelig antall adresser da den er basert på 128-bits skrevet i det heksadesimale systemet (for eksempel ‘2001:0db8:85a3:08d3:1319:8a2e:0370:7344’). Nasjonal kommunikasjonsmyndighet (NKOM) sin årlige internettrapport viser at utbredelsen av IPv6 har gått fra 24 % i fjor til 36 % i år. Norge er likevel bare på 10. plass i Europa og 24. plass i verden målt i utbredelse.

NKOM arbeider for å legge til rette for at norske brukere i større grad skal få tilgang til IPv6 gjennom dialogmøter med IT-aktørene (ref. internettsrapporten). I offentlig sektor derimot ligger det et krav om å støtte både IPv4 og IPv6 gjennom forskrift om IT-standarder i offentlig forvaltning § 12 jfr. § 16. Alt av nytt utstyr og programvare skal støtte begge standarder. Alle eksternt publiserte tjenester skal være tilgjengelig på begge standarder, mens nye interne nett og løsninger i offentlige virksomheter skal ha støtte for IPv6.

Tilgjengeligheten av IP-adresser med IPv6 gjør at nesten enhver digital enhet kan få en IP-adresse og være koblet opp mot Internett. Nå er ikke unik identifisering av ting det som i seg selv skaper «Internet of things». For unik identifisering av ting kan oppnås uten kobling til nett, slik som bruk av strekkoder eller QR-koder. Med Internet of things (IoT), eller tingenes internett, menes nettopp nettverket av identifiserbare gjenstander som er utstyrt med teknologi/elektronikk, programvare, sensorer og nettkobling som gjør gjenstandene i stand til å koble seg til hverandre og utveksle data. Mens det i 2014 var antatt å være 1.9 milliarder «smarte dingser» koblet sammen, er det estimert å være over 16 milliarder i år og at det vil vokse til over 75 milliarder i 2025.

Som med kunstig intelligens (AI), og spesielt sammen med AI-teknologi, så skaper IoT store muligheter i en digital hverdag. Dette er muligheter for både offentlige og private aktører, og for oss som brukere av IoT-baserte tjenester. Eksemplene er mange, som smarte kjøleskap, overvåkning av pipe, vann, strøm, hus, bil, barn, fotballtrening eller eldre. Eller eksempler som industrielle sensorer som åpner for sikring av utsatte områder som broer, demninger, tunneler og overvåkning av byggeprosjekter og næringsdrift. Men det er også utfordringer og farer for misbruk.

Det er viktig med tilstrekkelig sikre regelverk som gir deg, meg, andre private og offentlige aktører trygghet og forutsigbarhet. Samtidig som potensialet for gode tjenester som bidrar til samfunnets beste er stort, så vil en kobling til nett bære med seg en risiko for misbruk. Lovgivere, som Stortinget eller EU, må derfor balansere på en knivegg mellom på en side regelverk som beskytter samfunnet og dets borgeres, og på den andre siden regelverk som legger til rette for innovasjon og utvikling.

En kan tenke seg at alternativet til lovpålagte plikter er frivillige ordninger, men vil kommersielle aktører påta seg frivillige kostnader uten å søke dekning fra brukerne? En tidligere kollega la ut en morsom melding på LinkedIn forrige dagen, som viste hvordan Meta tilsynelatende spurte om brukeren av Instagram ønsket å betale USD 20 per måned for ekstra sikkerhet. I en hverdag med stadig smartere hackere vil jeg håpe IT-selskapene er dynamiske og møter de økende sikkerhetsbehovene uten å la brukeren stå igjen med all risiko eller med ubalanserte vilkår. En skal dog ikke utelukke frivillige ordninger.

Men hva regelverk? Uten å gi en uttømmende oversikt over alle relevante regelverk for IoT, og samtidig ikke gå for dypt, så trekker jeg i første omgang frem tre sentrale regelverk:

• Personvernregelverket. For Europa er det mest sentrale regelverket personvernforordningen, altså GDPR. IoT-tjenester brukt overfor privatpersoner vil med stor grad av sannsynlighet innebære at løsningene samler og lagrer personopplysninger. Dermed vil kravene etter GDPR måtte etterleves. Eksempelvis så følger det av GDPR at personopplysninger skal beskyttes mot uberettiget innsyn og endring. I dette ligger et krav om informasjonssikkerhet som virksomhetene må regelmessig risikovurdere. Virksomhetene må videre dokumentere at regelverket etterleves og dermed ha internkontroll. Med IoT-løsninger vil det også måtte vurderes om det skal gjennomføres en DPIA (personvernkonsekvensvurdering).
• EU-regelverk for datadeling: Dataforordningen og Åpen Data-direktivet. Dataforordningen ble vedtatt før sommerferien 2023. Her er en forordning som har som hovedmål å bidra til utnyttelse av data gjennom bedre datadeling, og da spesielt knyttet til IoT-baserte data. Personopplysninger faller utenfor denne forordningen og skal reguleres etter GDPR, men for andre «ikke-personopplysningsdata» så legges det opp til at brukere som tar i bruk IoT-løsninger (slik som i industriell sammenheng) skal kunne flytte sine data fra en IoT-tjenestetilbyder til en annen. Dette skal kunne skje på en trygg og sikker måte. IoT-tilbydere vil dermed ha en plikt til å bidra til dataflyten og ikke benytte urimelige kontraktsvilkår. Merk også direktiv 2019/1024 (åpne data-direktivet (ODD)), som ved gjennomføring i norsk rett vil være relevant for viderebruk og gjenbruk av offentlig sektor informasjon for like vilkår og med begrenset mulighet til betalingsbarrierer. Dette vil kunne være relevant for IoT-data i offentlig sektor.
• AI-reguleringen. Vedtakelse av AI-forordningen er på oppløpet og forventes vedtatt før utgangen av året. Dette er et regelverk som ikke er rettet mot IoT, men etter mitt syn så vil en IoT-løsning som samler inn større datamengder ofte innebære en kobling mot kunstig intelligens. Dermed vil det ofte måtte vurderes hvordan den enkelte IoT-løsning og dennes data treffer AI-forordningen, slik som risiko-nivået og etterfølgende krav til dokumentasjon, innsyn og kontroll. Regelverket skal bidra til å hindre misbruk og kontroll til fordel for samfunnet og fundamentale rettigheter.

I tillegg kan minst to andre regelverk nevnes. For det første: Digital Services Act (omtalt som DSA eller forordningen om digitale tjenester). Forordning har som formål å bidra til å styrke det indre marked ved å modernisere og presisere internettbaserte plattformers plikter når det gjelder blant annet å fjerne ulovlig innhold, informasjonsplikt, andre plikter knyttet til regulering av internettbaserte tjenester og plattformer (i forlengelsen av ehandelsdirektivet). En viktig side vil være tilsyn med plattformene for å redusere risiko for manipulasjon og ulovlig innhold. For enkelte store løsninger kommer i tillegg risikovurderinger og dokumentasjon av tjenestene og deres algoritmer. For det andre, og avhengig av hvordan slike tjenester fungerer, så har vi allerede digitalytelsesloven og krav til informasjonsplikt overfor brukere. Til slutt nevnes en annen side av regelverket knyttet til IoT-tjenester gjennom ekomloven § 2-8a. Den pålegger tilbydere av elektroniske kommunikasjonsnett og tjenester å lagre IP-adresser i 12 måneder. Dette gjelder kun for alvorlig kriminalitet, men medfører for IoT-tjenester og deres økende antall sensorer at dine spor risikerer å ligge lagret i lang tid.

Da har vi ikke adressert lovkrav til sikkerhet og IKT-sikkerhet som allerede finnes i flere eksisterende regelverk, slik som sikkerhetsloven, innen helsesektoren, IKT-forskriften for finanssektoren, kraftberedskapsforskriften og ikke minst forslaget til ny lov om digital sikkerhet fra mai 2023. Sistnevnte lovutkast har en klar parallell til kravene i GDPR om risikovurderinger, internkontroll, dokumentasjon og informasjonssikkerhet. Dette er forhold som er gjennomgående i de fleste regelverk.

Så hva er formålet med dagens IT-Gruk? En hverdag med stadig større potensiale for overvåkning, misbruk, datainnbrudd, hacking eller svindel ligger som medaljens bakside ved smartere hverdag og IoT. Når du installerer en digital lås på døren din koblet opp mot internett og styrt gjennom en app, så innebærer det også en risiko for at andre kan få tilgang. Det skaper utfordringer for lovgiver som både skal verne borgere, men også bidra til en økende digital hverdag og innovasjon.

Jeg vil mene at det er viktig med tilstrekkelig regulering som gjør at de enkelte brukere får informasjon som gjør dem i stand til å vurdere risiko, forstå tjenesten som benyttes og data som samles. Det skaper forutsigbarhet og trygghet. Dagens regelverk synes allerede å legge til rette for virksomhetenes informasjonsplikt og åpenhet.

Samtidig har de aller fleste regelverkene enkelte likhetstrekk knyttet til krav om informasjonssikkerhet, risikovurderinger, dokumentasjonsplikt og internkontroll. Hver for seg er dette nyttige krav i et moderne og dynamisk digitalt samfunn. Jeg skulle likevel gjerne sett større grad av samordning mellom denne type krav, og samtidig koordinert veiledning fra relevante myndigheter. Ikke alle virksomheter opplever å ha råd til først å ansette flere compliance-ressurser før de ansetter forretningsutviklere og salgsapparat, for deretter å måtte gå kanossagang mellom flere tilsyn. Dette til tross for at det ikke er noe krav om at en virksomhet eksempelvis må ha en fulltidsressurs for å ivareta personvern eller lignende. Et eksempel på god og koordinert veiledning er «Veileder om kontroll og overvåking i arbeidslivet». Denne er laget av Arbeidstilsynet, Datatilsynet og Petroleumstilsynet sammen med partene i arbeidslivet. Dermed reduseres noe av faren for overregulering, samtidig som det fortsatt legges til rette for innovasjon.

Til slutt noen råd til virksomheter som benytter teknologi som innebærer IoT, AI og personopplysninger:

• Sørg for å ha et aktivt forhold til reguleringene som treffer din bransje, slik som GDPR og dataforordningen, slik at du møter kravene og behovene til både kunder og offentlige myndigheter.
• Ha orden i skuffen og dokumenter. Kan du svare på følgende:
  • Hvordan ivaretas informasjonssikkerheten til virksomheten?
  • Har dere risikovurdert relevante prosesser og løsninger?
  • Hvordan dokumenteres risikovurderinger og etterlevelse av regelverk?
  • Hvem har ansvaret? Er det daglig leder, en egen sikkerhetsansvarlig/CISO eller et personvernombud som har det daglige ansvaret?
  • Hvordan har virksomheten innarbeidet et internkontrollregime, slik at dere kan lære opp ressurser internt, håndtere avvik og uønskede hendelser (som er cyberangrep)?

• Gjør informasjonssikkerhet og disse prosessene til en iboende del av virksomheten – en tillitsskapende fordel for din virksomhet, istedenfor en hemsko.

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Vi bistår alle typer virksomheter med vurderinger knyttet til personvern/GDPR, IT-kontrakter/prosjekter, immaterialrett og andre rettsforhold knyttet til teknologi og digitalisering. Ta gjerne uforpliktende kontakt for en innledende avklaring med ansvarlig for Grettes avdeling for Teknologi og digitalisering: Peter Lenda på tel 924 01 652 eller pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grettes nyhetssider.