Det är omfattande förändringar på gång inom cybersäkerhet och integritet. I en tid där IT-attacker, dataintrång och ny teknik medför ny lagstiftning finns all anledning att vara både vaksam och uppdaterad. Här delar vi med oss av tre insikter som kan hjälpa till att skydda er verksamhet och säkerställa efterlevnad av aktuella lagkrav.
Grönt ljus för EU:s AI-förordning – bygg förtroende med en AI-policy
AI-förordningen har under våren godkänts och implementeringsfasen är i full gång. Förordningen syftar huvudsakligen till att de AI-system som utvecklas ska användas etiskt, tillförlitligt och transparent, med respekt för mänskliga rättigheter – men utan att hindra det innovationsfrämjande som tekniken kan innebära. Det är en svår balansakt.
Redan nu mullrar det på horisonten i form av rättsprocesser där AI-utvecklare stämts av rättighetsinnehavare för påstådda intrång. Det är en företeelse vi lär se mer av framöver. Trots att lagstiftningen har fokus på utvecklarperspektivet ser vi att även användare av AI-tjänster behöver agera varsamt. I det ingår att fundera över vad för slags AI vi använder, men också hur AI-tjänsten används.
Medskicket är därför att noggrant granska era avtal med de AI-tjänster ni tänker använda eller redan använder, för att få klarhet i vad riskerna kan vara. Det är även klokt att utarbeta interna riktlinjer för användningen av AI genom att upprätta en AI-policy. En välgjord AI-policy kan både säkerställa laglydnad, minska er legala risk, och bygga förtroende hos era kunder och samarbetspartners.
Strängare krav på riskanalys och säkerhetsåtgärder – är er verksamhet kvalificerad för NIS2?
NIS2-direktivet, som börjar gälla senare i år, utvidgar det tidigare NIS-direktivets säkerhetskrav till fler sektorer, som hälsovård och tillhandahållare av digitala tjänster. I korthet syftar direktivet till att stärka skyddet mot cyberattacker med strängare riskanalys och säkerhetskrav. Det finns även krav på att inrätta rutiner och ange åtgärder om en säkerhetsincident inträffar. Liksom för GDPR medför direktivet höga sanktionsavgifter vid brott mot regelverket.
Det är viktigt att redan nu identifiera om ert företag omfattas av direktivet och i så fall säkerställa att ni uppfyller kraven. Exempel på sådana åtgärder kan vara att upprätta eller uppdatera era säkerhetspolicyer och incidenthanteringsplaner. Ett grundligt säkerhetsarbete minskar risken för höga sanktionsavgifter och förbättrar verksamhetens cybersäkerhet.
Låt inte er integritetspolicy bli dammig!
Ovanstående punkter har direkt anknytning till personuppgiftshantering. Även dataskyddsreglerna och tillämpningen av dem är i ständig utveckling. Sedan GDPR trädde i kraft 2018 har vi sett en utveckling generellt där kraven på en korrekt personuppgiftshantering blivit striktare. För att säkerställa efterlevnad är det avgörande att löpande granska hur er organisation hanterar personuppgifter, särskilt eftersom allvarliga överträdelser både kan resultera i utredning och höga sanktionsavgifter.
Vår rekommendation är att ni inte låter er integritetspolicy – det vill säga den information som redogör för hur ni hanterar personuppgifter – bli dammig. Verksamheter som löpande gör en översyn av sin personuppgiftshantering, som vid behov justerar sin information och utbildar relevant personal på området minskar per automatik sina legala risker. Det löpande arbetet innebär även att ni lättare kan hålla jämna steg med den tekniska framfarten, säkerställer att ni följer gällande lag och bibehåller ert förtroende hos era kunder och samarbetspartners. Skulle ni råka ut för en personuppgiftsincident ligger ni steget före, i stället för efter.