I sidste uge kunne Computerworld afsløre at Aula, efterfølgeren til Skoleintra-systemet, vil blive drevet på Amazons cloudtjenester. Den beslutning blev ikke modtaget med glæde hos landsformanden for foreningen Skole og Forældre, Mette With Hagensen.
”Som forældre ønsker vi at have de her data inden for landets grænser og i bund og grund allerhelst på et stykke papir i en aflåst skuffe,” fortalte hun og understregede, at tilliden til de offentlige it-systemer kunne ligge på et lille sted.
Det er nemt at fatte sympati for formandens synspunkt. For sporene skræmmer.
CSC-hack og SE & Hør-sagen
Tænk bare på CSC-hacket af blandt andet kørekortregisteret eller Nets-oplysninger, som frit flød fra en central medarbejder til Se og Hør, uden at nogen i firmaet studsede over de mange opslag.
Så formandens bekymring er reel. Og de seneste historier om Facebook, Cambridge Analytica og udenlandsk online-indblanding i amerikanske valg viser, at it-anvendelsen for mange har en stor og mørk side.
Det ironiske er dog, at det sandsynligvis er sikrere at køre Aula fra Amazon-servere et sted i Europa end fra en server eller mainframe et sted i Danmark.
Som historien viser, er dansk it ikke lig med sikker it, og en skuffe eller en lokal maskine er langtfra en sikker løsning.
Det viser erfaringerne fra en større dansk softwarevirksomhed, som jeg for nyligt mødte på en konference.
Bekymret over Mærsk-nedbruddet havde virksomhedens bestyrelse igangsat en række initiativer, herunder en penetrationstest af både fysisk og digital sikkerhed.
Resultatet var ikke imponerende. Godt nok havde de hyrede sikkerhedskonsulenter ikke held med at trænge ind i datacenteret, men til gengæld kunne de efter få dage komme ind på hovedkontoret - hvor de i øvrigt kronede deres succes med at spise i kantinen flere dage i træk.
Det var en øjenåbner for virksomheden, som efterfølgende har investeret i området. Men mit bud er, at det langtfra er en unik oplevelse.
GDPR er kun bundniveauet, resten er op til branchen
Så mens det er nemt for it-kyndige at trække på smilebåndet af formandens bekymring, er det op til os i it-branchen at få skabt den nødvendige tillid til de it-løsninger, som skal gøre vores hverdag lettere. Uden at give køb på privatlivets fred.
Det kan kun ske gennem flere gode eksempler, ærlig kommunikation og transparens – også når det går galt.
GDPR-lovgivningen er et skridt i den rigtige retning, men lovgivningen lægger kun bundniveauet – resten er op til os at forklare og forsikre forældre, borgere og brugere.