Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Mine teenagere har i mange år fablet om, hvordan ASMR giver dem en dejlig rolig følelse i kroppen. De har været storforbrugere af Youtube- og Instagram-kanaler med disse ASMR/Audiotive Sensetory Meridian Response-videoer.
Som Generation X’er har jeg nok bare aldrig rigtigt helt forstået konceptet.
Det gik så fornyligt op for mig - efter mere end 12 års arbejde med compliance og sikkerhed - at ASMR har en fætter med samme forkortelse:
”Alt Starter Med Risikovurderinger” og så er jeg pludselig med.
Desværre giver en risikovurdering typisk ikke helt den samme beroligende følelse som ASMR, men ikke desto mindre er følelsen efter at have udarbejdet en reel og ærlig risikovurdering nødvendig for ALLE organisationer – for følelser skaber action, og det er nødvendigt.
Der er ingen vej uden om og kun gennem det indblik, som en risikovurdering giver, er det muligt at nå frem til fuld compliance kombineret med reel sikkerhed og modstandsdygtighed.
Lad os starte med et lille tilbageblik:
Inden jeg dog går i gang lidt mere om risikovurderinger – i lyset af den konstante udvikling i den globale geopolitiske situation – kommer der her lige et tilbageblik på sidste måneds klumme.
Den ansporede nemlig en del kommentarer – rigtigt mange støttende, men også et par stykker, som var blevet fornærmet og enkelte direkte krænket.
Det var naturligvis ikke målet.
Ikke desto mindre virker det til, at der er brug for fortsat at slå på tromme for, at man IKKE skal træffe beslutninger baseret på panik, men i stedet tage fat og skabe sig overblik, indblik, dokumentation, planlægning og et beredskab, som kan eksekveres, når vi alle er klogere på fakta.
Så jeg holder fast i min hovedpointe fra sidste måned, som er er relativt kedelig, når nu det er så underholdende at lade sig gribe af ’Trump-mania’. Men tro mig, din bestyrelse/ledelse vil takke dig i længden.
Kan man så stadig basere sin forretning på US tech leverandører også i en verden præget af Trump og MAGA bevægelsen?
Lad os bare sige det kort igen: Ja, der er intet lovgivnings- eller sikkerhedsmæssigt, som i dag giver konkret grund til at indlede et skifte.
Læs eventuelt min sidste klumme, hvor jeg går de juridiske aspekter og specifikke efterretningsmæssige elementer igennem.
Men skal der slet ikke ske noget nu?
Igen helt kort: JO DA!
Både hos den enkelte kunde – det vender vi tilbage med omkring at, Alt Starter Med Risikovurderinger – men så sandelig også hos de amerikanske leverandører.
US Tech skal naturligvis nu vise, at deres hidtidige principfaste håndtering af deres platforme og de kundedata/løsninger, som drives på dem, virkelig er eviggrønne principper og ikke kan brydes af den hvirvelvind af politiske forandringer, som følger af Trumps "Flood the Zone"-strategi.
Når der i databehandleraftaler for eksempel står, at en leverandør "…acquires no rights in Customer Data…" og "… will not use or otherwise process Customer Data…", så er det en juridisk udmøntning af princippet om, at kundens data er kundens og kun kundens.
Det skal kunne holde uanset politiske hvirvelvinde.
Og når der også står et naturligt forbehold som "will not disclose or provide access to any Processed Data….as required by law" eller "We will not access or use Your Content except as necessary to maintain or provide the Services, or as necessary to comply with the law or a binding order of a governmental body," så skal de fortsat bevise, at de øvrige forbehold som aftalerne også indeholder, er mindst lige så stærke, modstandsdygtige og bindende i fremtiden som tidligere:
"… will attempt to redirect the law enforcement agency to request that data directly from Customer."
Eller "… will only disclose or provide access to any Processed Data as required by law provided that the laws and practices respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society and, as applicable, to safeguard one of the objectives listed in Article 23(1) of GDPR."
En prekær situation
Det er naturligvis en prekær situation for de amerikanske leverandører, fordi man ikke ønsker at lægge sig ud med en relativ flagrende ny administration, risikere forholdet og lukrative kontrakter, men samtidig har de fleste leverandører en tilsvarende andel af deres omsætning udenfor USA.
Money talks og de seneste ugers fald i blandt andet US Tech-aktier er ikke i firmaernes interesse (endsige Trumps, selvom det lader til at prelle af på ham).
Men som nævnt i sidste måned, så er det faktisk til EU's fordel - og leverandørerne kan ende med at være katalysatorer for en mere gelinde eksekvering af Trump og Musks omkalfatring af det amerikanske samfund.
Lige nu skal man derfor ikke forvente kontante udmeldinger om øget modstand, endsige afkræve yderligere garantier end dem allerede er i databehandleraftalerne.
Men vi skal holde dem op på det narrativ, som altid har lydt, at US Tech efterlever alle love og reguleringer i de lande, som de store amerikanske it-selskaber opererer i.
Inklusiv GDPR, NIS2, DORA - fortsæt selv listen – og at det er modstandsdygtigt over for politisk pres, uanset hvilken præsident der er valgt.
Diplomatiet arbejder
Kan told – eller tariffer, som Trump kalder det smukkeste ord, han kender – pålægges US tech services, når de leveres ud af europæiske datterselskaber?
EU er i den heldige situation, at handelspolitikken drives af Kommissionen, uden at Rådet behøver give dem et mandat (fra alle landene) og alle kontakter i de store erhvervsorganisationer siger samstemmende, at der forhandles på anden måned med deres amerikanske modparter.
Det står klart, at pålægger EU en standardtold på amerikanske varer, så vil det sandsynligvis ikke ramme de EU-baserede datterselskaber, medmindre man fra EU er kreativ i implementeringen.
Og for at citere Winston Churchil med "Never waste a good crisis", så er det da en mulighed for at finde på nye tiltag, som kan ramme netop den US Tech-branche, som af mange får kritik for at stille velvilligt op til Trumps indsættelsesceremoni.
Og rammes de på indtjeningen i EU, så kan vi nok godt forvente, at de lægger et relativt kraftigt tryk på Trump-administrationen, for at fastholde 'status quo' også i forhold til data- og privatlivsbeskyttelse, så forretningen kan fortsætte upåagtet.
Alt Starter med Risikovurderinger
Mens diplomaterne arbejder og mediebranchen har en fest med de mange og skiftende udmeldinger, som følger af "Flood the Zone", har vi alle en opgave, som ikke kan outsources eller udskydes.
Risikovurderinger og hvad deraf følger, men Alt Starter Med Risikovurderinger – jeg kan ikke sige det nok gange.
Datatilsynet er i samarbejde med Rådet for Digital Sikkerhed i gang med at opdatere deres vejledning, så indtil den er klar kan med fordel se mod Digitaliseringsstyrelsen, som i 2020 udgave denne vejledning.
Og hvis man er i tvivl om det nu kan betale sig, så tillad mig at bruge en metafor om
brandsikring – nok igen en Generation X-ting:
- Compliance: Vi kan være compliant med lovgivning, hvis vi har en skumslukker.
- Sikkerhed: Men vi er først rigtigt sikre, hvis vi ved, hvordan den benyttes, at den
er det rigtige sted og der er nok af dem.
- Beredskab: Har vi testet, at den virker og ved vi, at vi kan få nye/flere hvis der
bliver brug for den og så videre?
- Governance: Har vi en proces for, at vores skumslukkere bliver ved med at være,
hvor de skal være, fungerer som de skal, kan slukke de (typer af) brande, vi kan
forestille os - også i morgen og kan vi opdatere dokumentationen for, at de til
enhver tid er 'passende' i forhold til truslerne, vi er udsat for.
Bemærk at alle disse ting tager udgangspunkt i risici, så uden at vi har vurderet hvilke
risici, vi har for brand, risici for, at vi får en bøde eller pålæg, hvis brandmyndighederne
dukker op og tjekker, om vi er compliant eller risikoen for, at vores forsikring ikke dækker, fordi vore kontroller og beredskab ikke var godt nok, hvis branden virkelig kommer.
Fortsæt selv listen over hvilke risici, der skal vurderes, men Alt Starter Med Risikovurderinger.
Og synes man, det er svært at skabe sig overblikket, fokusere på de rigtige risici eller
bare svært at komme i gang, så er der absolut folk derude med (grey hair) erfaring, som kan hjælpe med den rejse.
Lovgivningen/reguleringen har mange gode værktøjer, som giver mulighed for at etablere
både den korrekte compliance, optimal risikobaseret sikkerhed, det passende beredskab og ikke mindst den nødvendige governance, så I kan fortsætte med at modernisere, uden konstant at blive tynget af ’ugens frygt’.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.