IT och juridik

Det är för många verksamheter en utmaning att förstå möjligheterna och riskerna med IT, men också att veta vad som är och inte är tillåtet. Vissa regelverk är äldre och inte anpassade till den digitala informationshanteringen. Andra regelverk är så nya att de saknar rättspraxis. Ytterligare regelverk som rör digitaliseringen är på ingång och ännu inte gällande med de behöver trots det ändå beaktas.

Det är EU som reglerar merparten av de nya regelverken exempelvis GDPR, NIS, DSA, DMA, CER, CRA och AI Act. Men vad betyder alla dessa förkortningar? När ska de tillämpas? Hur förhåller de sig till varandra och till andra regelverk? Kan man använda avtal istället eller standarder? Hur gör man för att alla dessa regler inte ska bli en ogenomtränglig djungel.

Mitt enkla tips är att inte gå för snabbt in på detaljerna. Börja med att zooma ut istället för att zooma in. Skapa en överblick över vilka regelverk som kan bli aktuella för er. En del av dessa har ni säkert redan rutiner kring. Exempelvis rör många regleringar säkerhet kring informationen, tillkommande arbete med informationssäkerhet ska då inte starta från noll utan integreras i det som verksamheten redan gör. Använd GAP-analys för att se vad som skiljer mellan de processer och rutiner som redan finns och de krav som de nya reglerna ställer.

Regleringar som inte alls är omhändertagna sedan tidigare behöver struktureras, vilka samband finns, vilken dignitet har de, i vilken ordning bör frågorna omhändertas osv. Även här bör utgångspunkten vara att nya krav i möjligaste mån arbetas in i befintliga processer. Att hålla samman och se helhet ger hållbara lösningar. 

Det betyder också att arbetet behöver ske gemensamt av personer som har olika professioner och olika roller i verksamheten. Det är genom att alla lyssnar på varandra och förstår de olika perspektiven som man tillsammans hittar de framkomliga vägarna.