Da Storbritannia introduserte Lov om databruk og -tilgang (DUAA), fokuserte mye av den tidlige kommentaren på divergensen den introduserte. Var dette en oppmykning av Storbritannias databeskyttelsesregime? Et bevisst avvik fra Brussel? En vekstorientert omkalibrering? Men all denne innrammingen går glipp av det mer betydningsfulle skiftet. 

DUAA utvanner ikke ansvarlighet. Den omfordeler den, og gjør preskriptiv tolkning om til styring som kan demonstreres tydelig. Ved å forbedre anerkjente legitime interesser, omkalibrere innsynsrettigheter for registrerte, justere bestemmelser om automatisert beslutningstaking og styrke håndhevingen under PECR, reduserer loven rigiditet på visse områder, samtidig som den øker forventningen om at organisasjoner kan rettferdiggjøre hvordan de utøver skjønn. 

Én ting som er helt klart, er at den regulatoriske byrden ikke har forsvunnet. Den har faktisk blitt mer strukturell. Organisasjonene som vil navigere DUAA-en med hell, er ikke de som oppdaterer retningslinjer raskest. Det vil være de som kan dokumentere hvordan beslutninger tas, gjennomgås og forbedres over tid, og gjør det konsekvent. 

Proporsjonalitet under DUAA er ikke mildhet; det er disiplin 

Et av de sentrale temaene i DUAA er proporsjonalitet. Den går ut på at anerkjente legitime interesser kan påberopes uten en fullstendig avveiningstest i definerte scenarier. Forespørsler om innsyn kan avvises eller modereres dersom de er «plagsomme eller overdrevne». Og reglene for automatisert beslutningstaking er blitt forbedret. 

Men proporsjonalitet er ikke en senking av standarden. For eksempel, der en organisasjon er avhengig av anerkjente legitime interesser, vil regulatoren fortsatt forvente å se: 

  • Tydelig identifisering av behandlingsformålet 
  • Risikoanalyse som gjenspeiler virkningen på enkeltpersoner 
  • Hensyn til sikkerhetstiltak 
  • Dokumentasjon av beslutningstaking 
  • Bevis på konsekvent anvendelse 

På samme måte skaper ikke reformene av håndteringen av forespørsler om innsyn fra registrerte (DSAR) isolert sett skjønn. De krever strukturerte kriterier for å vurdere hvorvidt det er for mye, definerte eskaleringsruter og dokumentert begrunnelse. I praksis flytter dette samsvarsbyrden bort fra formelmessige tester og mot påviselig modenhet for styring. 

Jeg synes det også er verdt å nevne at ICOs håndhevingstrend i den senere tid allerede har reflektert dette skiftet. Etterforskninger undersøker i økende grad systemiske kontrollsvikt, utilstrekkelig tilsyn og utilstrekkelig dokumentasjon, snarere enn bare om en spesifikk klausul ble teknisk sett brutt. I den forstand akselererer DUAA dette fokusskiftet. 

Loven avslører fragmentert styring 

På et virkelig grunnleggende nivå dekker DUAA informasjonssikkerhet, personvernoperasjoner, samsvar med markedsføringsregler, styring av kunstig intelligens og internasjonale dataoverføringsfunksjoner. 

I mange organisasjoner forblir disse domenene strukturelt atskilte. 

Sikkerhet kan operere under et teknisk risikorammeverk. Personvern kan være policydrevet og juridisk sentrert. Markedsføring kan være kommersielt drevet. Implementering av kunstig intelligens kan skje innenfor innovasjons- eller produktteam. Leverandørstyring kan være innkjøpsdrevet. DUAA respekterer ikke disse interne grensene. 

Et AI-drevet markedsføringsverktøy distribuert gjennom en USA-basert prosessor kan for eksempel samtidig engasjere: 

  • Sikkerhetsforpliktelser for behandling 
  • Vurderinger av rettslig grunnlag 
  • Sikkerhetsforanstaltninger for automatiserte beslutninger 
  • PECR-markedsføringsregler 
  • Risikostyring for internasjonale overføringer 

Hvis hvert element styres forskjellig og dokumenteres inkonsekvent, svekkes en organisasjons evne til å forsvare beslutningstaking. For å være tydelig, loven pålegger ikke eksplisitt integrering. Men den praktiske effekten gjør fragmentert styring vanskeligere å opprettholde. Det er derfor det er klart for de fleste at i dette miljøet er styringssystemer viktige. 

Hvorfor internasjonale standarder blir strategiske i en innenlandsk reform 

Selv om DUAA kun endrer den britiske GDPR og PECR, er britiske bedrifter fortsatt eksponert for EUs GDPR, sektorreguleringer og ny AI-lovgivning når de handler internasjonalt. 

I den sammenhengen tjener internasjonale standarder to kritiske funksjoner: 

  1. De skaper et felles styringsspråk på tvers av juridiske, tekniske og utøvende team. 
  1. De gir en reviderbar stedsrepresentant for strukturert risikostyring i mangel av forskrivende lovbestemte detaljer. 

Så det er absolutt rimelig å anta at selv om den integrerte anvendelsen av ISO 27001, ISO 27701 og ISO 42001 erstatter ikke regeloverholdelse, det operasjonaliserer det. 

Der DUAA forventer forholdsmessig risikovurdering, definerer disse standardene hvordan risiko identifiseres, evalueres, behandles og gjennomgås. Der loven styrker håndhevingen, integrerer de revideringsmuligheter og korrigerende tiltak. Sammen flytter de styring fra reaktiv tolkning til strukturert, proaktiv kontroll. 

ISO 27001: Å gjøre ansvarlighet til noe håndgripelig 

ISO 27001, standarden for informasjonssikkerhet, gir et rammeverk for å oppnå klarhet. Den krever at organisasjoner bygger et styringssystem for informasjonssikkerhet rundt: 

  • Forstå konteksten deres og definere omfanget riktig 
  • En formell, forsvarlig risikovurderingsmetode 
  • Tydelig planlegging av risikobehandling 
  • Dokumenterte kontrollbeslutninger 
  • Internrevisjon og ledelsesgjennomgang 
  • Kontinuerlig forbedring 

På papiret høres det prosedyremessig ut. I praksis svarer det på et langt mer ubehagelig spørsmål: hvem eier risikoen, og hvordan vet vi det? 

Og under DUAA blir det spørsmålet skarpere. 

Behandlingssikkerhet 

Kravet om å implementere «passende tekniske og organisatoriske tiltak» har ikke forsvunnet. Men «passende» kan ikke bety «det som føltes rimelig på det tidspunktet». 

ISO 27001 krever at organisasjoner definerer hva som er passende for deres virksomhet, basert på dokumentert risikoanalyse, ikke subjektiv vurdering eller historisk vane. 

Hendelsesrespons og håndtering av brudd 

Regulatorer fokuserer ikke lenger utelukkende på om et sikkerhetsbrudd har skjedd. De ser på hvor forberedt organisasjonen var. 

  • Ble responsen testet? 
  • Ble det dokumentert? 
  • Forsto ledelsen sin rolle? 

En strukturert, innøvd hendelsesprosess demonstrerer kontroll. En improvisert prosess demonstrerer eksponering. 

Håndheving og reviderbarhet 

Med sterkere håndhevingsmyndigheter for PECR og stadig mer utviklende kontroll, må styringen være synlig. Regelmessige interne revisjoner og ledelsesgjennomganger viser at samsvar ikke er statisk. Det overvåkes og utfordres aktivt. Det er viktig når regulatorer skal avgjøre om et problem gjenspeiler uflaks eller svakt tilsyn. 

Og det er her ISO 27001 går lenger enn driftshygiene. 

Det integrerer lederansvar. Under DUAA vil ikke styringssvikt bli behandlet som tekniske forsømmelser. Det vil bli sett på som et organisatorisk problem. 

ISO 27701: Å gjøre personvernreformen operativ 

Hvis ISO 27001 skaper strukturell ansvarlighet, oversetter ISO 27701 personvern til daglig praksis. Den utvider sikkerhetsstyringssystemet til et personverninformasjonsstyringssystem, og samkjører personvernforpliktelser med den samme risiko-, dokumentasjons- og tilsynsstrukturen. Denne samordningen er kritisk under DUAA-reformen. 

Anerkjente legitime interesser 

Selv der en formell avveiningstest ikke er nødvendig, må organisasjoner fortsatt vise at de har tenkt nøye gjennom formål, proporsjonalitet og sikkerhetstiltak. 

ISO 27701 formaliserer hvordan lovlige grunnlag identifiseres, registreres og gjennomgås. Den fjerner tvetydighet fra beslutninger som ellers ville blitt tatt uformelt. 

DSAR-reformen 

Å moderere eller avslå forespørsler om innsyn krever dømmekraft, og dømmekraft krever beskyttelsestiltak. 

ISO 27701 angir definerte prosedyrer, eskaleringsveier og dokumentasjonskrav. Dette gjør skjønn til en forsvarlig prosess. 

Internasjonale overføringer 

Risikovurderinger for overføringer, databehandlertilsyn og kontraktsmessige sikkerhetstiltak hører ikke bare rettferdig inn under juridiske rammer. 

ISO 27701 integrerer dem i leverandørstyring og driftsmessige arbeidsflyter, noe som reduserer fragmentering mellom juridiske, innkjøps- og sikkerhetsteam. 

Åpenhet og ansvarlighet 

Personvernerklæringer og behandlingsregistre er ikke engangsoppdateringer. De blir en del av et levende styringssystem. 

ISO 27701 legger i praksis grunnlaget for den disiplinen som kreves for å bruke DUAA-fleksibilitet på en ansvarlig måte, uten å havne i inkonsekvens. 

ISO 42001: Styring av kunstig intelligens uten å behandle den som et eksperiment 

Som jeg kort nevnte tidligere, oppdaterer DUAA også regler for automatisert beslutningstaking. I noen sammenhenger øker det fleksibiliteten. Men fleksibilitet uten tilsyn ender sjelden godt. ISO 42001 introduserer et AI-styringssystem bygget på: 

  • AI-spesifikke risikovurderinger integrert i bedriftsrisiko 
  • Definert menneskelig tilsyn 
  • Tydelig dokumentasjon av systemets formål, datainnganger og beslutningslogikk 
  • Gjennomsiktighetskontroller 
  • Løpende overvåking og forbedring 

Etter hvert som AI ekspanderer på tvers av sektorer, vil ikke regulatorer bare spørre om systemene fungerer teknisk. De vil spørre om organisasjoner kan demonstrere meningsfullt tilsyn. ISO 42001 svarer på dette spørsmålet ved å bygge inn AI-styring i eksisterende sikkerhets- og personvernsystemer, i stedet for å behandle det som et innovasjonssideprosjekt. 

Den integrerte fordelen: Én risikomodell, ett evidensgrunnlag 

Den strategiske kraften i løkken ligger i integrasjon. Sammen skaper ISO 27001, 27701 og 42001: 

  • En enhetlig risikometodikk på tvers av sikkerhet, personvern og AI 
  • Konsekvente dokumentasjonsstandarder 
  • Delt ledertilsyn 
  • En konsolidert internrevisjonssyklus 
  • Et enkelt rammeverk for korrigerende tiltak 

Dette er viktig fordi DUAA ikke innfører isolerte forpliktelser. Den innfører skjønnsfrihet på tvers av disse sammenkoblede domenene. 

Et integrert styringssystem reduserer duplisering, forhindrer inkonsekvent beslutningstaking og sikrer at proporsjonalitet anvendes gjennom strukturert analyse snarere enn uformell vurdering. For organisasjoner betyr det at når regulatorer ber om bevis, og det gjør de i økende grad, kan selskaper som opererer i denne sløyfen tilby veldokumenterte risikovurderinger, behandlingsbeslutninger, tilsynsrapporter og gjennomgangsresultater i en sammenhengende fortelling. Og det er ofte forskjellen mellom gransking og sanksjon. 

Fra samsvar til organisatorisk robusthet 

DUAA vil ikke være den siste reformen av britisk datalovgivning. Veiledning vil utvikle seg. Håndhevingspolitikken vil modnes. AI-tilsyn vil intensiveres. Grenseoverskridende kompleksiteter vil vedvare. Organisasjoner som behandler hver utvikling som en separat juridisk justering, vil fortsette å oppleve gjentatte driftsforstyrrelser. 

De som opererer integrerte styringssystemer vil absorbere endringer trinnvis. Risikoregistre vil bli oppdatert. Kontrollene vil bli forbedret. Tilsynet vil bli omkalibrert. Dokumentasjon vil bli beholdt. Forskjellen er strukturell. 

DUAA signaliserer et regulatorisk miljø som er mindre definert av foreskrivende instruksjoner og mer av forventning om disiplinert vurdering. I et slikt miljø blir modenhet i styringen et konkurransefortrinn. ISO 27001-, 27701- og 42001-løkken forenkler ikke reguleringen. Den gjør den håndterbar. 

Utvid din kunnskap

Blogg: Hvorfor regulatorer og investorer forventer at selskaper skal håndtere en trippel risiko

Blogg: Compliance-æraen: Hvordan regulering, teknologi og risiko omskriver forretningsnormer

Webinar: ISO 27001 og ISO 27701 i praksis: Innsikt i vår overvåkingsrevisjon