Lider virksomheten av «juridisk angst»? Fem grep for å lykkes med juss i tech-prosjekter

Er offentlig sektor lammet av juridisk angst? Det var i hvert fall budskapet i en rapport fra Skatteforsk, som kom ut tidligere i år.

Rapporten peker på usikkerhet rundt regelverk, defensiv tilnærming til risiko og at jurister stopper data- og teknologiprosjekter.

Gevinster, innovasjon og teknologisk fremgang stanses i frykt for å trå feil. Lignende tilbakemeldinger kommer også fra privat sektor.

Siv Kristin Henriksen, personvernjurist i NHO, mener at problemet ikke først og fremst skyldes strenge jurister – men at virksomheter bruker jurister feil.

– Jurister får ofte skylden for at man ikke får til ting. Men ofte handler det heller om at juristene får et oppdrag som egentlig ikke bør være deres, eller forventes å ta beslutninger uten tilstrekkelig grunnlag, sier hun.

Kobles på for sent – uten nødvendig innsikt

Bør vi samle inn og bruke data på en mer omfattende måte enn i dag? Skal vi lansere et nytt KI-prosjekt?

– Dette er spørsmål som i stadig større grad besvares av jurister, selv om beslutningen til syvende og sist bør ligge hos ledelsen, sier Henriksen.

I andre tilfeller kobles juristene på for sent i prosessen, eller uten at de får nødvendig innsikt.

– Du kan ikke si at jurister er vanskelige hvis de ikke har blitt involvert ordentlig, eller fått mulighet til å forstå hva som faktisk skjer.

Nulltoleranse for risiko kan være risikabelt

Et annet gjennomgående problem er hvordan jurister blir målt. Ofte vurderes de nesten bare på én ting: etterlevelse av regelverk.

– Det blir et insentiv til å ta minst mulig risiko. Men hvis målet i praksis blir «null risiko», kan det gå direkte på bekostning av andre, ofte like viktige virksomhetsmål, som innovasjon, bedre tjenester eller andre viktige samfunnsoppdrag, sier Henriksen.

Lisa Marie Engebø Førland, personvernansvarlig i Statens vegvesen, kjenner seg igjen i dette. Hun peker på at det er en leders oppgave å ta stilling til risiko.

I Statens vegvesen er nullvisjonen for antall drepte i trafikken en viktig del av samfunnsoppdraget. Finnes det situasjoner der en helt bokstavtro tolkning av GDPR i praksis kan stå i veien for tiltak som bidrar til nullvisjonen?

– Absolutt! Det er viktig at jurister synliggjør handlingsrommet i regelverket, sier hun.

Fem suksesskriterier

Heldigvis finnes det grep virksomheter man kan ta for å jobbe smartere med jussen i teknologiprosjekter.

Dette har vært hovedtemaet i Digital Norways juridiske fagforum denne høsten, der jurister fra ulike sektorer og roller har diskutert hvordan virksomheter bør arbeide med juridiske rammer i data-, teknologi- og KI-prosjekter.

– I utgangspunktet handler det om at virksomheter må spille jurister gode, sier Henriksen.

Gjennom forumet har juristene sammen utarbeidet fem suksessfaktorer for hvordan virksomheter kan lykkes med juss i teknologiprosjekter – og utnytte det regulatoriske handlingsrommet på en måte som støtter virksomhetens strategi.

Her er de fem suksessfaktorene:

1. Ledelse- og risikostyring

Det første punktet handler om risikostyring.

Det kan være fristende å tenke at nulltoleranse for juridisk risiko er det tryggeste. Problemet er at man da risikerer å gå glipp av både bedre tjenester, innovasjon og mulighetene som ligger i smart bruk av data og ny teknologi.

– Organisasjonene må få klare rammer for risikoappetitt og hva som anses som akseptabel risiko. Det er ledelsen som må eie denne beslutningen, sier Henriksen.

Juristene må samtidig bidra til at ledelsen forstår konsekvensene av valgene de tar. Hva betyr lav, middels eller høy risikoappetitt i praksis? Hvilke muligheter åpner det for – og hvilke begrensninger følger med?

Si for eksempel at ledelsen slår fast at virksomheten skal ha null GDPR-risiko. Da må ledelsen forstå konsekvensene av det som i praksis vil være store begrensninger når det kommer til bruk av data og ny teknologi.

Hvis virksomheten derimot aksepterer noe risiko, må den være tydelig definert. Det må være klart hva som er innenfor, hva som er utenfor, og hvordan avvik skal håndteres.

– Virksomheten bør ha et system for risikostyring, som anerkjenner at man iblant må håndtere risiko, ikke bare unngå den. Det handler om å balansere krav, praksis og hensyn på en ansvarlig måte.

2. Tidlig involvering

Dersom jurister først kobles på mot slutten av et prosjekt, er det som regel allerede for sent.

– Vi kan ikke behandle jurister som portvoktere som til slutt skal gi grønt eller rødt lys. Da mister man mulighetsrom, og vurderingene blir ofte strengere enn nødvendig.

Jurister bør helst involveres fra start, slik at de kan være med på de små og store valgene som tas underveis, sammen med de andre fagmiljøene, og bidra til å stake ut riktig kurs.

– Dette krever god prosjekt– og produktledelse, minner Henriksen om.

3. Tverrfaglighet

– Det er like viktig for jurister som andre profesjoner å jobbe tverrfaglig i teknologiprosjekter.

Ideelt sett bør jurister sitte tett på dem som bygger og utvikler, og delta i diskusjonene der de faktiske valgene tas.

– For å finne gode løsninger må fagene forstå hverandre. Jurister trenger teknologiforståelse, og teknologene må vite nok om juss og relevante regelverk.

Et godt eksempel er «privacy by design» – som handler om å bygge personvern inn i teknologien fra starten av.

Innebygd personvern krever både juridisk og teknisk kompetanse. Ingen av fagmiljøene kan lykkes med dette om de arbeider separat.

– Juristen vet hva regelverket krever, utvikleren vet hvordan systemet fungerer. Når man jobber tverrfaglig, finner man ut hvordan system og regelverk kan harmonere i praksis, sier Henriksen.

4. Medarbeiderstøtte

Jurister skal ikke kun være portvoktere – de skal bidra til utvikling.

– For at det skal skje, må ledelsen gi dem trygghet, tillit og rom til å være kreative, finne handlingsrom og utforske løsninger innenfor regelverket, sier Henriksen.

Samtidig har mange organisasjoner en form for juridisk berøringsangst. Når jussen oppleves som noe man kan «trå feil» i, blir konsekvensen ofte at man lar være å prøve nye ideer.

– Man må ha rammer som gir trygghet, ikke frykt.

5. Organisering av juridisk enhet eller juridiske tjenester i virksomheten

Det femte punktet handler om hvordan den juridiske funksjonen er organisert i virksomheten.

– Hvis jurister sitter i en egen juridisk avdeling og kun måles på lavest mulig risiko, har de alle insentiver til å avvise teknologiprosjekter.

Når jurister derimot jobber tverrfaglig, endrer forutsetningene seg.

Da blir de en del av utviklingsarbeidet, får innsikt i hva som faktisk bygges og hvilke mål virksomheten jobber mot, og kan støtte prosjektene på en måte som ikke er mulig når jussen sitter for seg selv.

– Gir trygghet

Trond Moengen fra Digital Norway, forteller at fagforumet tydelig har møtt et behov og truffet en nerve:

– Jurister på tvers av virksomheter i ulike domener og sektorer forteller at dette er problemstillinger de kjenner seg igjen i.

Han forteller at mange formidler at de ofte står alene når de skal utforske det juridiske handlingsrommet i nye prosjekter, og at det kan føles utrygt å være den som utfordrer etablerte rammer.

– Det gir en trygghet å vite at flere står i det samme og jobber med de samme spørsmålene. Ikke minst blir det lettere å ta sjansen på å utnytte mulighetsrommet når flere andre gjør de samme vurderingene, sier Moengen.

Han peker på at det er opp til virksomhetene å legge til rette for at jurister faktisk kan spille en konstruktiv rolle når nye tjenester, løsninger og arbeidsprosesser skal utvikles.

– Det handler om å organisere arbeidet slik at innovasjon faktisk kan skje, og slik at virksomheten lettere kan hente ut gevinster fra data og KI uten at regulatoriske spørsmål blir en unødvendig brems. Da er det fem rådene fra fagforumet et godt sted å starte.