Teknidik: en krock mellan världar

Juridik och teknik drar inte alltid jämnt. Tvärtom tycks dessa samhällets två urkrafter föra en oavbruten dragkamp i var sin riktning.

Medan tekniken är frenetisk, global och ständigt i rörelse för att spränga nästa vall är juridiken eftertänksam, lokal och i färd med att konstruera murarna som tekniken gör sitt bästa att riva.

De senaste åren har krockarna mellan dessa väsensskilda discipliner blivit allt tydligare, och nu tar juridiken ett ordentligt kliv in i våra serverrum och driftanläggningar. Det är inte så mycket någon enskild revolution som en smygande, successiv inkapsling av alla de möjligheter och risker som en tekniskt global värld för med sig.

Det jag framför allt tänker på är hur lagen försöker skydda personlig integritet. Med Internet har gränsen för vad som är privat ändrats. Många vill visa upp sig men ingen vill bli uthängd. Lagen gör sitt bästa att säkra allas rätt att välja själv. Gott så.

Alla företag inom EU som arbetar med personuppgifter på något sätt (ja, visa mig vilka som _inte_ omfattas …) och försöker följa datalagstiftningen vet att man inte får handskas med informationen hur som helst. Register med personuppgifter ska skyddas, får endast föras efter att personer som berörs godkänner det – eller om företagen kan visa att deras behov av registret är större än individens integritetsbehov.

Det kan i sig vara en utmaning. Än mer legalt intressant blir frågan för alla företag som har kontor, kollegor eller kunder i flera länder. Enligt lagen får vi som huvudregel nämligen inte flytta information utanför landets gränser. Alls.

För att vi ska bryta mot lagen räcker det att system som driftas i Sverige är tillgängliga från kollegor i andra länder. Ta ett CRM-system som finns i Sverige. Använder man det från utlandet är man i lagens mening sannolikt brottslig. Samma sak om man använder Active Directory med persondata som flyttas mellan länder. Jaha.

Flyttar inom EU är just nu någorlunda hanterbara – lagarna är efter vad jag förstår någorlunda harmoniserade. Men att flytta saker till USA gör man inte lika enkelt, och Asien ska vi bara inte tala om. Märk då att jag med "flytta information" inte ens menar en regelrätt export utan endast att den är tillgänglig – t.ex. via en webbläsare.

Det finns som tur är en väg runt. Som personuppgiftsansvarigt företag måste man upprätta särskilda personuppgiftbiträdesavtal (pust) med alla lokalbolag eller externa företag som kan tänkas komma i kontakt med informationen.

Men tänk er alla molntjänster. Vem avtalar man med på Dropbox? Eller Apple, när man lägger något i iCloud? Och går det överhuvudtaget att få tag i en människa på Google? Själv försöker jag föreställa mig staben av jurister som på löpande band ska förhandla fram rätt avtal med varje godtycklig molntjänst som anställda i EUs alla bolag självmant registrerar sig på.

Våra jurister är kloka och konstruktiva, och de kliar sig i huvudet just nu. Det tycks inte finnas någon uppenbar situation där man får göra någonting alls utan specialavtal, personuppgiftsombud, biträden och biträdesavtal på plats.

För oss som sitter med en global infrastruktur är det en spännande utmaning. Tunggrodd men hanterbar. Där det riktigt riskerar spricka är när alla i ett företag på eget bevåg bestämmer sig för att börja testa molntjänster.

På papperet är vissa av brotten fängelsepliktiga. Möjligen är det ändå svårt att få livstid i Sing Sing, men det är likväl spännande att fundera på hur kampen mellan teknik och juridik kommer att påverka vårt arbete kommande år, särskilt i en tid då sociala grafer och teknisk kundprofilering når nya höjder på den tekniska fräckometern varje dag.

Blir till att skicka alla på omskolning i nya cross over-disciplinen teknidik.
blog comments powered by Disqus