IMY testar nya arbetssätt för att ge vägledning till innovations­aktörer

Vi befinner oss mitt i ett tekniksprång som ibland kallas för den fjärde industriella revolutionen, där kärnan handlar om datadriven innovation. Utvecklingen rymmer stora möjligheter – samhällsutmaningar inom till exempel hälso- och sjukvård, brottsbekämpning och välfärd kan med hjälp av data hanteras på helt nya och mer effektiva sätt. För den enskilde innebär teknikutvecklingen samtidigt en ökad utsatthet. Artificiell intelligens, sakernas internet och andra tekniker innebär nya och effektiva sätt att samla in och analysera personuppgifter.

Vi ser ett stort behov

Värnandet av den personliga integriteten är en grundsten i hållbar innovation och utveckling av nya tekniker och tjänster. IMY har under flera år sett ett stort behov av stöd och vägledning om integritets- och dataskyddsfrågor hos innovationsaktörer. Sedan augusti 2021 har vi ett särskilt uppdrag om att genomföra riktat arbete för att höja kunskapen om våra frågor i innovationssystemet. Den snabba teknikutvecklingen och det stora behovet av vägledning kräver dock att även vi på IMY utvecklar våra arbetssätt.

Nyligen förslog Komet (Kommittén för teknologisk innovation och etik) till regeringen att IMY tillsammans med Skatteverket och Vinnova ska få i uppdrag att bedriva regulatorisk testverksamhet inom dataskydd vid teknikutveckling och innovation under tre års tid, med start våren 2023. Syftet är att öka förmågan hos privata och offentliga aktörer att hantera integritets- och dataskyddsfrågor på ett mer proaktivt och ansvarsfullt sätt. Det skulle, menar Komet, bidra till ett innovativt samhälle genom att öka kapacitet, kompetens och genomförbarhet i arbete med dataskyddsfrågor inom datadriven innovation.

Innovatörer får testa och visa upp lösningar

Vad är då regulatorisk testverksamhet? I en regulatorisk testverksamhet får utvalda aktörer testa och visa upp innovativa tekniska lösningar tillsammans med behöriga myndigheter, med fokus på rättsliga bedömningar. Avsikten är bland annat att öka den rättsliga förutsebarheten, förkorta tiden till att aktörens produkt eller tjänst når marknaden och underlätta för startup- och småföretag. Samtidigt bidrar den regulatoriska testverksamheten till att öka myndighetens förståelse för ny teknik och hur den kan tillämpas. Regulatorisk testverksamhet kan också kallas för sandlåda, sandbox, testbädd, växthus, drivhus, och så vidare. Flera av våra systermyndigheter i Europa arbetar med regulatoriska testverksamheter inom dataskyddsområdet, bland annat norska Datatilsynet, brittiska ICO (Information Commissioner´s Office) och franska CNIL (Commission Nationale de l’Informatique et des Libertés).

Pilotfall till hösten

Inom ramen för IMY:s pågående uppdrag att öka kunskapen om integritet- och dataskyddsfrågor hos innovationsaktörer är en tydlig slutsats att innovationsaktörerna efterfrågar fördjupad vägledning i konkreta innovationsprocesser.

Vi har tidigare påtalat att regeringen bör överväga att skapa förutsättningar för oss att bedriva regulatorisk testverksamhet. Under hösten kommer vi arbeta med ett pilotfall med regulatorisk testverksamhet inom ramen för vårt pågående innovationsuppdrag. Det kommer ge nytta för den berörda verksamheten i piloten, men även för andra verksamheter med liknande rättsliga frågeställningar eftersom vår vägledning förbättras och sprids.

I vår pilot kommer vi erbjuda fördjupad vägledning i hur dataskyddsreglerna ska tillämpas utifrån de faktiska förutsättningarna och omständigheterna i deltagande innovationsaktörers planerade personuppgiftsbehandling, i samband med deras produkt eller tjänst. Det kan till exempel röra sig om att hjälpa innovationsaktören att identifiera relevanta dataskyddsrättsliga frågeställningar, att stötta verksamheten i att hitta lösningar som ger ett fullgott dataskydd eller ge återkoppling på aktörernas bedömningar.

Vi tror mycket på det här arbetssättet. Vi välkomnar därför Komets förslag och hoppas få möjlighet att bygga upp och driva en regulatorisk testverksamhet i större skala under de närmaste åren.

Carin Sundhage, analytiker
Joyce Wong, it- och informationssäkerhetsspecialist