Fem saker att tänka på om shipping och datahantering

Data har de senaste åren gått från att vara en icke-fråga till att vara av högsta prioritet inom shippingbranschen. Kombinationen av utsläppsregleringar som kräver mätning, delning och rapportering av data, och tekniska regelverk avseende datahantering och cybersäkerhet har gjort data till ett viktigt fokusområde för framtiden. Det handlar både om att säkerställa reglerefterlevnad och affärspotential genom data. Utöver den generella digitalisering vi ser i branschen kan man på ett konkret plan konstatera att det blir fler och fler uppkopplade system ombord, och att data numera ofta är en av huvudfrågorna i både samarbetsavtal och certepartier. Det kan vara allt från utsläppsdata till prestationsdata och trenden vi ser är att medvetenheten i dessa frågor ökar explosionsartat.

Det finns med andra ord många aktuella datafrågor inom shippingindustrin. Vi kommer i nedan artikel att fokusera på den nya datalagen som börjar tillämpas i september 2025 och som kommer att påverka hela industrin. Företag måste navigera i komplexa frågor rörande balansen mellan ökade krav på tillgång till och användning av data och skyddet för personuppgifter och intresset av att hemlighålla känslig, affärskritisk information. Artikeln avslutas med att våra sjörättsjurister svarar på tre nyckelfrågor kopplade till datafrågor för sjöfartsindustrin.

Vad är Data Act?

Data Act [1], eller dataakten som den ibland kallas på svenska, syftar till att öka tillgången till data inom olika sektorer, inklusive sjöfartsbranschen. Den reglerar hur data från uppkopplade komponenter i fartyg eller tillhörande digitala tjänster, såsom rörande geografisk plats, hastighet, bränsleförbrukning och lastinformation, kan delas med andra intressenter såsom hamnmyndigheter, rederier och logistikleverantörer. Data Act innehåller regler för att undanröja hinder för datadelning och säkerställa att användare kan få tillgång till data som genereras av uppkopplade produkter och tillhörande digitala tjänster. Till skillnad från GDPR omfattar den nya förordningen både personuppgifter och icke-personuppgifter.

Vad innebär Data Act för sjöfartsindustrin?

För sjöfartsindustrin innebär Data Act flera förändringar:

1. Design och tillverkning av uppkopplade produkter: Sjöfartsutrustning och fartyg måste utformas och tillverkas så att data är direkt och kostnadsfritt tillgängliga för användarna, vilket kan kräva nya tekniska lösningar för datainsamling och delning.
2. Informationsskyldighet: Innan försäljning eller leasing måste tillverkare och leverantörer ge detaljerad information om vilken typ av data som genereras, hur dessa data lagras och hur användare kan få åtkomst till dem. Detta inkluderar information om datastrukturer, dataformat och lagringstider.
3. Datadelning och användning: Data måste göras tillgängliga för användare och tredje parter på rättvisa och icke-diskriminerande villkor, vilket kan kräva nya policyer och tekniska lösningar för att dela data med olika intressenter, inklusive serviceleverantörer och myndigheter.
4. Skydd av företagshemligheter: Sjöfartsföretag måste säkerställa att företagshemligheter skyddas när data delas, vilket kan kräva att företagen implementerar mer strikta åtkomstkontroller och ingår särskilda sekretessavtal med tredje parter.
5. Personuppgifter. Vid sidan av Data Act gäller fortsatt GDPR vilket innebär att alla personuppgifter som genereras genom användning av uppkopplade sjöfartsprodukter fortsatt måste behandlas lagligt, rättvist och på ett transparent sätt. Företag måste ha en giltig rättslig grund för att behandla personuppgifter och vidta lämpliga tekniska och organisatoriska åtgärder för att skydda dessa uppgifter mot obehörig åtkomst, förlust eller skada. Dessutom måste användarna informeras om hur deras personuppgifter behandlas och deras rättigheter enligt GDPR, inklusive rätten till åtkomst, rättelse och radering av deras personuppgifter.

Sjörättsjurister svarar

Varför börjar vi prata om detta just nu?

Historiskt har den legala spelplanen sett ungefär likadan ut de senaste 100 åren och frågorna för oss sjörättsjurister har på det stora hela varit desamma. Nu ser vi nya frågeställningar växa fram inom cybersäkerhet, data och AI. Kombinationen av gröna regelverk, såsom EU ETS och FuelEU Maritime, och nya regler om data, cyber och AI har gjort dessa frågor till viktiga fokusområden framöver. Cyberfrågan är en del av ISM-koden och frågan prioriteras i allt högre utsträckning. Flera av IG-klubbarna har i år börjat erbjuda försäkringslösningar inom cyber. Det är tydligt att ett nytt område håller på att växa fram och det vi ser nu är bara början.

Inte bara en IT-fråga

Det är inte enbart fråga om ansvar enligt nya regelverk som kommer inom cyber, data och AI, utan dessa frågor är direkt kopplade till det operationella ansvaret för rederier, befraktare och ship managers. Om man tittar på cyberfrågan så påverkar denna bedömningen av fartygets sjövärdighet vilket i sin tur har bäring i frågor om bland annat ansvar, försäkringstäckning och möjlighet till regresskrav vid gemensamma haverier.

Hur bör företag tänka?

Se dessa frågor som en del av kärnverksamheten. Frågorna behöver flyttas från IT-avdelningen, upp till styrelse- och ledningsnivå. Detta bör vara en del av den dagliga verksamheten om det inte redan är det. Det finns oändliga möjligheter inom de här delarna. Lägger man strategier redan från start och har en tydlig plan för hur man ska kunna få affärsnytta genom innovation kan man skapa konkurrensfördelar. Eftersom såväl de rättsliga ramverket som försäkringsaspekterna är under uppbyggnad finns det också möjlighet att vara med och forma dessa.

Det man också bör tänka på är att jobba med ett helhetsperspektiv när det gäller dessa frågor. Frågor om compliance, cybersäkerhet, informationskontroll (t.ex. sekretess och IP) och AI har direkt påverkan på varandra. För att få kontroll över det juridiska ansvaret behöver man ha god överblick över hur frågorna förhåller sig till varandra, både juridiskt och i praktiken.

[1] Förordningen (EU) 2023/2854, antagen av Europaparlamentet och Europeiska unionens råd den 13 december 2023.