EU's Data Act giver fri adgang til vores følsomme data og kritiske infrastruktur

Udfordringerne i forbindelse med forsvarets, politiets og Vejdirektoratets anvendelse af overvågningskameraer fra den kinesiske virksomhed Hikvision understreger, at EU's Data Act bør have nogle klare afgrænsninger.

Det var Børsen, der gravede historien frem, men heldigvis fulgte Altinget op på historien om de alvorlige udfordringer i forbindelse med offentlige danske aktørers brug af kinesisk Internet of Things (IoT).

Udfordringer, som politikerne nu bruger som anledning til at stille nye krav til offentlige indkøb, hvor man antageligt vil nedlægge forbud imod indkøb fra lande, man ikke har tillid til.

Det sker med henvisning til, at man kan frygte, at data indsamlet via IoT-teknologi vil blive delt med fjendtlige statslige aktører, hvilket medfører en øget cybertrussel, da de kan benytte de indsamlede data til at ramme kritisk dansk infrastruktur, folks hjem med videre.

Der forestår formentlig en længere politisk forhandling om, hvordan man fremover skal strikke udbudsprocesser til offentlig indkøb af IoT sammen. Hvordan man konkret skal gribe det an, vil jeg ikke forholde mig til hér.

For jeg mener, at der er langt mere på spil. Ikke alene set fra et dansk perspektiv, men noget som har potentiale til at udgøre en udfordring for hele EU's cybersecurity.

Øget udveksling af data bliver ofte fremhævet som en vej til at sikre mere innovation, øget vækst og stærkere konkurrenceevne, og dataøkonomien har uomtvisteligt et kæmpe potentiale, og der kan ikke herske tvivl om, at silodannelser og manglende samarbejde blandt andet inden for life science og fremstillingsindustrien ikke er gavnlig.

Det er blandt andet denne problematik, som EU's Data Act er tænkt til at skulle adressere med et krav til virksomhed om at give andre kommercielle aktører adgang til de data, de genererer, både i forbindelse med udvikling af produkter og den efterfølgende brug af dem.

Men når EU's Data Act skal have sin endelige formulering, skal politikerne været meget opmærksomme.

Parterne er netop blevet enige om en foreløbig vedtagelse af EU's Data Act. Imidlertid er det i den foreliggende formulering meget uklart, hvilke data det drejer sig om.

Man kunne forestille sig, at en ikke-europæisk vindmølleproducent i den forbindelse overtog alt vindmølledata, fordi deres kunde havde fået en god aftale om meget billigere energi fra modparten

Cecilia Bonefeld-Dahl

Det betyder reelt, at det er alle data, uanset om de i enhver anden sammenhæng ville blive defineret som forretningshemmeligheder, der er i scope, samt at virksomhederne ikke kan sige fra, selv hvis de har reelle sikkerhedsmæssige eller forretningsmæssige bekymringer. Med mindre de kan bevise, at de ” lider alvorlige tab”.

I den nuværende formulering kan danske og europæiske virksomheder blive tvunget til at give konkurrenter deres data, og således risikerer Europa ikke blot at give kronjuvelerne af europæiske virksomheders forretningshemmeligheder og fremtidige indtjening væk, men også at åbne for seriøse sikkerhedsrisici. Den horisontale lovgivning rammer nemlig alle. Fra producenter af vindmøller og avanceret hospitalsudstyr til udviklere af pumper og termostater.

Mange af de europæiske virksomheder er ikke født digitale datavirksomheder, men er på en rejse, hvor deres forretning forandres, og de udvikler nye datadrevne ydelser, og vi risikerer, at accelerere en horisontal konsolidering på tværs af industrier i et game af datadrevne forretningsmodeller, hvor Europa ikke er lederen endnu.

Europa står nemlig ikke til at vinde det slag, og de små innovative scale-ups, som deling af data vil generere, kan næppe skabe arbejdspladser og skattekroner, der kompenserer for det tabte. Derudover, bliver størstedelen af de skalerbare mindre virksomheder ikke i EU, når deres vækst endelig tager fart.

Set ud fra et forretningsperspektiv er det helt åbenlyst ikke tilrådeligt at forcere denne proces, og her er end ikke nævnt den effekt, at mange udenlandske virksomheder potentielt vil undgå at investere i datainnovation, forskning og udvikling i EU.

For at imødegå dette, har Digitaleurope formuleret en række anbefalinger til, hvordan EU's Data Act bør formuleres, og i dialog med private aktører har Digitaleurope indsamlet en lang række cases, hvor påtvunget deling af forretningshemmeligheder bliver dokumenteret.

Men udfordringer er som sagt ikke alene et forretningsanliggende, der berører de private aktører og deres konkurrenceevne. Det udgør en potentiel alvorlig cybertrussel imod alle EU's medlemsstater.

Sagen er nemlig, at Data Act i sin nuværende formulering vil betyde, at virksomheder, der eksempelvis leverer overvågningskameraer, skal gives adgang til alle de data, der bliver genereret via overvågningskameraerne. Eller at danske virksomheder, der producerer vindmøller, pumper eller varmetermostater, skal overgive data til en konkurrent, hvis den, der ejer data, vil skifte leverandør.

Så her en stærk opfordring til europæiske og danske virksomheder og regeringer om at forberede sig grundigt på implementering af Data Act’en

Cecilia Bonefeld-Dahl

Man kunne forestille sig, at en ikke-europæisk vindmølleproducent i den forbindelse overtog alt vindmølledata, fordi deres kunde havde fået en god aftale om meget billigere energi fra modparten, eller at en producent af CT-scannere til hospitaler skulle overgive alt data til en anden producent, fordi et hospital ønsker at skifte leverandør.

Pludselig ville en massiv cyberusikkerhed være implementeret i hjertet af vores hospitaler og i vores energiforsyning.

Parterne er, som skrevet, nået til en vedtagelse af EU's Data Act, og teksten er denne uge under formulering. Så her en stærk opfordring til europæiske og danske virksomheder og regeringer om at forberede sig grundigt på implementering af Data Act’en.

Det er ikke en ny GDPR, det er en ny disruptive regulering, der forandrer virksomhedernes forretningsvilkår og åbner for cybersikkerhedsricisi.