Etterlevelse by design: En arkitektur, ikke et buzzword

Alle snakker om compliance. Nesten ingen har tenkt det gjennom.

«Etterlevelse by design» er blitt et av de mest brukte uttrykkene i offentlig IT. Det høres bra ut i en presentasjon. Men hva betyr det egentlig?

For de fleste betyr det at noen har skrevet et kapittel om GDPR i et tilbudsdokument. Kanskje det finnes en DPIA som ble utfylt én gang. Det er ikke etterlevelse by design. Det er etterlevelse by etterstanke.

To fundamentalt forskjellige typer krav

Vi har identifisert et skille som mange overser: det er forskjell på krav som avgjør om en kunde kan kjøpe løsningen, og krav som styrer hvordan kunden bruker den riktig.

Kjøpsbarrierer er krav til leverandøren og løsningen. GDPR, informasjonssikkerhet, KI-forordningen, arkivloven. Disse må være på plass for at en offentlig virksomhet i det hele tatt kan signere en avtale. Neo må dokumentere, underleverandøren må dokumentere, og kunden må godkjenne.

Etterrettelig bruk er krav til kundens bruk av løsningen. Forvaltningsloven krever at vedtak begrunnes. Offentlighetsloven krever journalføring og innsyn. Sektorlover stiller egne krav. Her er ansvaret kundens, men Neo må støtte det arkitektonisk.

Fra lovhjemmel til dokumentasjonskrav

Etterlevelse by design betyr at det finnes en ubrutt kjede fra lovhjemmel til teknisk implementasjon. For hvert regulatorisk krav kan vi peke på: Hva er lovhjemmelen? Hva er dokumentasjonskravet? Hvem må dokumentere hva — Neo, underleverandøren, eller kunden?

Ta GDPR som eksempel. Art. 28 krever databehandleravtale. Neo har DPA med underleverandør. Underleverandør har DPA med Neo. Kunden signerer DPA. Art. 35 krever DPIA — Neo bistår med vurdering, underleverandør dokumenterer tiltak, kunden godkjenner. Art. 44-49 om tredjeland: Neo har Standard Contractual Clauses og Zero Data Retention-avtaler.

Eller arkivloven: Neo logger, sporer og versjonerer. Kunden arkiverer. Autentisitet og integritet ivaretas teknisk.

Det er ikke et dokument. Det er en arkitektur.

Fem regulatoriske områder — én modell

Vi har strukturert etterlevelse i nummerte områder som speiler hverandre mellom globale maler og kundespesifikke besvarelser:

01 — GDPR. Personvern, DPIA, tredjeland, databehandleravtaler.

02 — Informasjonssikkerhet. ISO 27001, risikovurderinger, teknisk sikkerhet.

03 — KI-forordningen. Risikokategorisering, transparens, menneskelig tilsyn.

04 — Arkivloven. Autentisitet, integritet, krav til løsningen.

05 — Datadelingsloven. Åpne data, API-krav, datasett med høy verdi.

Pluss 90 — Etterrettelig bruk. Forvaltningsloven, offentlighetsloven, sektorlover.

Hver kunde får sine besvarelser generert fra standardmalene, tilpasset deres kontekst. Når vi lærer noe nytt fra én kunde, generaliserer vi til standarden. Slik bygger vi kumulativ etterlevelseskompetanse — på tvers av alle kunder og alle regulatoriske områder.

Hvorfor dette betyr noe

Fordi det er forskjellen mellom et produkt som kan selges til offentlig sektor, og et produkt som faktisk fungerer der.

Offentlige virksomheter har ikke råd til å ta sjanser med etterlevelse. Deres innbyggere har rettigheter. Deres dokumentasjon er offentlig. Og fra 2027 stiller KI-forordningen nye krav til alle som bruker AI i saksbehandling.

Etterlevelse by design betyr at vi har tenkt gjennom dette før kunden spør. Ikke etterpå.