anders lisdorf bloghoved

GDPR = COVID-19-hysteri i en tid med fare

Den europæiske persondataforordning og COVID-19 har mere tilfælles end blot at være seje forkortelser, der kunne lyde som hemmelige rumprogrammer.

De viser nemlig begge lignende dynamikker i forhold til de risici, de begge indebærer. Mens COVID-19 er en sygdom for mennesker, som myndighederne har udviklet retningslinjer for at undgå, er GDPR en sygdom for firmaer, som myndighederne også har udviklet retningslinjer for at undgå.

Man kan blive ramt af denne sygdom ved, at man bliver smittet med en virus kaldet Datatilsynet. De kommer og kigger på ens systemer, og afhængig af firmaets immunforsvar (dvs. hvor godt man har forberedt sig) kan det resultere i meget heftige sygdomstegn i form af bøder, der væsentligt svækker firmaets evne til at tjene penge.

Jeg kan huske for mange år siden i 2015, hvor man begyndte at snakke om denne forfærdelige sygdom, som snart kunne komme og ramme os. Den var stadig fjern og uvirkelig ligesom COVID-19 i Wuhan i januar. Men den kom nærmere, og da de første begyndte at blive ramt, greb panikken om sig.

Reaktionsmønstre på noget farligt

Det interessante her er mere reaktionen. For ligesom COVID-19, så var vejledningerne ikke så svære at forstå eller særligt uklare. De var faktisk meget nemme, hvis man satte sig ned og læste dem og prøvede at forstå, hvad man skulle gøre og hvorfor.

Men det har de fleste jo ikke tid til, og i Danmark kan man jo ikke lade det afholde en fra at have en holdning og træffe en beslutning om, hvad der skal gøres. Det medfører desværre nogle bizarre og uhensigtsmæssige situationer. Jeg synes, følgende Coronaanekdoter også i dag meget godt beskriver reaktionen på GDPR:

I krisens begyndelse tænkte jeg, at jeg hellere måtte gå ned og støtte min lokale kaffebar. For eksempel ved at købe en double shot vanilla latte med et touch af kanel og en pain au chocolat. Sjældent har mit over-, under- og mellemjeg været så alignet om en plan, så derfor gik turen ned til kaffebaren (som jeg vil lade være anonym af hensyn til de implicerede).

Vi er på et tidspunkt, hvor myndighederne anbefaler 2 meters afstand, og at butikker højst kan have 15 gæster. Min kaffebar er på samme størrelse som en mellemstor kantine i Ballerupområdet, så det havde jeg ikke skænket en tanke.

Men knap var jeg kommet ind i butikken og stod 6 meter fra kassen, før ekspedienten sagde til mig:"Du må ikke være herinde. Vi kan kun have en kunde ad gangen". Og det var altså tilbage i marts, hvor det faktisk var rigtigt koldt for mine følsomme kinder og næse at skulle stå udenfor og vente. Så blev både over- og mellemjeg (ikke så meget underjeg, men her var vi jo ude i en 2 imod 1-beslutning) fornærmet og tænkte, at så kunne vi da også bare gå hjem og lave vores egen Nescafé og spise lidt kammerjunkere. Så vigtigt var det da heller ikke.

Det interessante i denne historie er ikke min personligheds reaktion på modgang, men tankegangen, der leder folk til at overdrive og opdigte krav for at holde en risiko væk. Det var jo slet ikke nødvendigt at være så restriktiv som at kræve, der kun var en kunde i butikken.

Fast forward et par måneder. Vi begynder at åbne op og kan nu holde konfirmationer med 20 personer derhjemme. Snart kan der være helt op til 50 deltagere i offentlige forsamlinger, hvis de sidder langt fra hinanden og lover Mette ikke at have det alt for sjovt.

Og så slår politiet i USA igen en uskyldig sort mand ihjel, som de har haft for vane de sidste 20-30 år. Så skal vi da have en støttedemonstration på 15.000 mennesker, der går tæt arm i arm i en manifestation, der ville have haft samme effekt, om den omhandlede ønsket om at fjerne solen lidt fra jorden for at gøre klimaet bedre (spoiler alert: Donald Trump og USA's politi kommer ikke til at ændre det mindste på baggrund af en demonstration, de aldrig kommer til at høre om i Danmark, men det er en anden historie).

Risiko og innovation og GDPR

Det er den samme dynamik, vi ofte ser med GDPR. Rundt omkring i en organisation har folk godt hørt om den uhyggelige sygdom. De vil gøre alt for at undgå den.

De færreste har tid til at sætte sig ind i, hvad det præcis indebærer, så de opdigter deres egne regler baseret på overskrifter og genfortalte skrøner. Det har den effekt, at al nyudvikling bliver sat i stå, fordi det skal leve op til alle disse nyopfundne krav.

Alle føler sig ansvarlige og har fokus på sikkerheden. I mellemtiden står alle organisationens kritiske kundedatabaser og snurrer med admin accounts, der har brugernavn: admin, password: admin, som alle udviklere og dbaere bruger, fordi det jo er meget nemmere (For dem, som ikke lige fangede det, så er det ikke en god og sikker praksis, som Datatilsynet vil værdsætte).

Effekten er, at reaktionen på nyudvikling af IT-løsninger er ligesom på min kaffebar: hysterisk og overdrevet forsigtig, mens alle andre etablerede løsninger triller videre på samme usikre og kriminelt uansvarlige måde ligesom en demonstration med 15.000 i en corona lock down-tid.

Hvis vi lige løfter det op endnu et meta-niveau, så betyder det, at reaktionen fremkalder en tilstand, hvor innovation og nyudvikling uhensigtsmæssigt hindres, mens man tror, at det gør organisationen mere sikker. Samtidig fortsætter man uden at indse, det er en risikobetonet adfærd, som øger risikoen. Det vil sige, at effekten bliver den modsatte af, hvad organisationen og alle de dygtige og velmenende mennesker tror, alt imens innovation kvæles.

Men hvad så?

Derfor har jeg efter mange års erfaringer med selvopfundne, ubegrundede krav, der har bremset mine geniale og yderst velgennemtænkte løsninger, lavet min egen ønskeliste til verden.

  1. Hvis du mener, der er en sikkerhedsmæssig risiko, så peg på den præcise reference i en officiel regulatorisk kontekst. Hvis du ikke gider dette, er der ikke nogen mulighed for, at folk, der som jeg udvikler nye løsninger, kan validere og eventuelt mitigere risikoen. Det er ikke nok at sige, du ikke synes, det er en sikker løsning blablabla GDPR blablabla

  2. Hvis du ikke gider læse persondataforordningen (hvilket der er uendeligt mange gode grunde til), eller i det mindste datatilsynets vejledning i sin helhed, må du meget gerne lade være med at have en holdning til den eller i hvert fald holde den for dig selv.

  3. Hvis en ny løsning har nogle minimale sikkerhedsmæssige risici, skal de holdes op imod alle andre løsningers sikkerhedsprofil. Det er ikke nogen kunst at finde et hul i osten. Ingenting er perfekt, men hvis du bruger energien på at tætne et musehul i væggen, mens hoveddøren står åben, er det spild af tid. Det har jeg desværre ofte set. F.eks. er det kommet på mode at have stærk styring af systembrugerkonti, hvilket er fantastisk; men hvis kildesystemets dbaere og udviklere deler den samme konto (admin, admin) med udvidede admin-privilegier, kan det vel være lige meget, om min system bruger til en enkelt tabel, der har kopieret data, opfylder den vildeste password politik, man kan forestille sig.

  4. Hav bare en lille smule respekt for, at informationssikkerhed ikke er en triviel øvelse, hvor alt har et selvindlysende svar, men at det faktisk har taget lang tid og krævet snak med mange forskellige interessenter at nå til den løsning, man præsenterer.

Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Münster
  • Hysteri grundet manglende indsigt, bør være ulovligt.

Vi har samme situation på Kontoret her:

  • Rengøring som render rundt med sprittede klude i små bøtter, som vi skal bruge hver gang vi har siddet ved et bord i kantinen,
  • Der er regler for hvor mange vi må samlet og
  • Jeg har sent enkelte herinde med gasmaske på
  • Alle møder var mere eller mindre aflyst, hvis ikke man kunne over nettet.

Se; i sidste uge valgte man så at se bort for AL hysteriet og uddele grillpølser under åben himmel i forbindelse med noget indvielse. Alle stod som sild i en tønde, delte de samme ketchup flasker, grill tænger, køkkenruller og grilmasters der rørte en smule ved alles mad.

  • 9
  • 1
#3 Bjarke Haack Jørgensen

Helt enig Thomas. At være IT-kyndig fagperson og anskue GDPR som en sygdom er som at være entrepenør og anskue lovkrav om bygningssikkerhed som en sygdom.

Jeg forstår godt pointen, at folk overser/tilsidesætter ganske generelle/basale sikkerhedsprincipper og fokuserer mere på GDPR, men det er jo ikke lovgivningens skyld, ligesom det ikke er lovgivningens skyld at 15.000 mennesker demonstrerer uden at tage deres forholdsregler.

Det var jo slet ikke nødvendigt at være så restriktiv som at kræve, der kun var en kunde i butikken.

Siden du nu er af den holdning at folk gerne må sætte sig ind i tingene, inden de udtaler sig, er dette så en personlig eller sundhedsfaglig holdning?

  • 19
  • 2
#4 Anders Lisdorf Blogger

@Bjarke,

Siden du nu er af den holdning at folk gerne må sætte sig ind i tingene, inden de udtaler sig, er dette så en personlig eller sundhedsfaglig holdning?

som jeg skriver i artiklen: "Vi er på et tidspunkt, hvor myndighederne anbefaler 2 meters afstand, og at butikker højst kan have 15 gæster". Om myndighederne har brugt en sundhedsfaglig holdning til at komme til den konklusion kan jeg ikke stå inde for. Ligesom med GDPR kan jeg jo kun forholde mig til de retningslinier der gives officielt.

Jeg tror i øvrigt ikke jeg et eneste sted siger noget dårligt om GDPR? artiklen handler jo netop om at følge retningslinierne givet af myndighederne hverken mere eller mindre.

  • 10
  • 5
#5 Denny Christensen

GDPR er for mig blot endnu et skill en person/en organisation/en leverandør skal mestre.

Som i andre fag er der specialister der hives ind, et eksempel er fugeeksperter ved byggerier (ja fugemester er en specialist, der er mange forskellige former for fugning), alle kan naturligvis hive en fugepistol og noget fugemasse ned fra hylden i byggemarkedet, men resultatet er også tit derefter.

Sygdomme skal kureres, og patienter skal efter behov isoleres. Samme gælder for dem der betragter eksempelvis GDPR som en sygdom - det er ikke dem vi gider lege med.

  • 6
  • 0
#6 Gert Madsen

Helt enig Thomas. At være IT-kyndig fagperson og anskue GDPR som en sygdom er som at være entrepenør og anskue lovkrav om bygningssikkerhed som en sygdom.

Det er selvfølgelig rigtigt.

Men jeg vil alligevel godt løfte på hatten for at Anders Lisdorf tager dette op, og sætter lidt perspektiv på de hysteriske udbrud, der mere end antyder at "ansvarlige" folk anser GDPR som en sygdom.

  • 6
  • 1
#7 Anders Lisdorf Blogger

Jeg er imponeret over antallet af GDPR fans på Version2. Nu var det på ingen måde min mening at sige noget negativt om GDPR. Sætningen som tilsyneladende er faldet folk for brystet var mere ment som en reflektion af "opfattelsen" af GDPR, som jeg har oplevet den. Personligt har jeg skam faktureret mange hundrede timer som kan tilskrives GDPR og andre regulative paradigmer, så jeg klager ikke.

Jeg vil derfor gerne igen pointere, at det mere handler om pereptionen af en fare end nogen som helst reel vurdering af GDPR.

  • 4
  • 3
#8 Simon Mikkelsen

Min holdning er, at GDPR er rigtig god, men det kniber gevaldigt med håndhævelsen overfor store firmaer som Google og Facebook.

Jeg synes også at man nogen steder har overreageret kraftigt. Det skyldes nok særligt at folk har hyret rådvidere ind, der var ansvarlige for deres rådgivning, og dermed har de først og fremmest sørget for at dække sig selv ind. Det koster ikke dem noget at være unødigt forsigtig, men det koster dem noget at være for sløset.

Men i sidste ende handler det om at gøre det som man altid burde gøre og at dokumentere det korrekt. Det er ligesom at der er regler for at bygge højhuse eller laven bus. Det kan også blive rigtig dyrt hvis man ikke overholder reglerne. IT-branchen har været vant til at kunne gøre næsten som de ville. Det har gjort meget lettere, men det er ikke anderledes end da man deponerede gift i naturen. Nu er det ret dyrt at komme af med sådan noget.

GDPR er en del af at IT-branchen er ved at blive mere moden, som så mange andre brancher. Det er ikke et gode, det er helt naturligt at man skal passe på folks mest følsomme data.

  • 7
  • 0
#9 Simon Rigét

hvis vi kunne stole på dem der har vores data.

Der er ingen tvivl om at det er en fordel at der er registreret alt muligt om og, og at det er tilgængeligt, på alle mulige fikse måder, så det kan understøtte vore dagligdag, med de data giv allerede generere. Det ville kunne bidrage til effektivisering, bekvemmelighed og vækst i økonomien.

Problemet er bare at det er en statslig opgave at sikre borgernes digitale rettigheder, på samme måde som den sikre vores frihed og privatliv.

Så længe holdningen er at det er IT giganterne der skal styre vores data Så læge, så længe må vi have restriktioner på hvad de må. GDPR er et fint første bud på det.

Hvis vi vil høste gevinsen ved big data på personlige data, behøver vi trygge rammer, som kun staten kan give. Det kunne f.eks. være at alle vores data skulle samles og opbevares centralt (i databanker) hvor vi selv har kontrollen med hvem der må bruge dem og til hvad.

  • 0
  • 0
#10 Gert Madsen

Det ville kunne bidrage til effektivisering, bekvemmelighed og vækst i økonomien.

Det er en forsimpling.

Det er besværligt for mig, at private og offentlige foretagender mener at jeg skal indtaste alle mulige irrelevante oplysninger, fordi de har lyst til at have dem liggende, hvis nu de en gang skulle få brug for dem.

Det er bekvemmeligt for indsamlerne - ikke for mig.

Ofte vil der kun være en gevinst under den forudsætning at borgernes/kundernes tid og besvær , er gratis.

  • 1
  • 0
#11 Tom Ringtved

med hensyn til ovenstående Covid-19 kommentarer, så er det desværre alt for nemt at være bagklog, Man skal huske at se alt i den situation der er på det relevante tidspunkt. Med hensyn til GDPR blev der dog sagt noget klogt

  • 1
  • 0
#12 Simon Rigét

Det er en forsimpling.

Det er besværligt for mig, at private og offentlige foretagender mener at jeg skal indtaste alle mulige irrelevante oplysninger, fordi de har lyst til at have dem liggende, hvis nu de en gang skulle få brug for dem.

Det er bekvemmeligt for indsamlerne - ikke for mig.

  1. Jeg kunne godt forestille mig, at alle data om mig blev opbevaret på min konto i en databank. hvor jeg har lovsikrede rettigheder til ikke at skulle udlevere dem, uden at blive ringere stillet.

  2. Nogle af de services som IT giganterne finder på, kan være rigtig smarte for mig. Jeg ville gerne kunne tracke mig selv, ud fra alle data der kan samles om mig. Der er mange spændende muligheder for ting man kunne gøre, hvis alle data var tilrådighed for alle.

Summa sumarum: Det handler om at haver tillidsvækkende institusioner.

  • 1
  • 0
#14 Simon Rigét

Ah. Altså en verden, hvor der ikke findes mennesker, som vil berige sig på andres bekostning.

Det kaldes Utopia.

... lige så utopisk som en bank der ikke stjæler fra din konto, eller en stat der forsvarer din sikkerhed og opretholder retsstilstand. Det var selvfølgeligt utopisk engang, og kan blive det igen.

Jeg kan ikke se hvordan et så negativt livssyn, kan bidrage til noget positivt, ud over at sikre at indehaveren ikke bliver skuffet :)

  • 0
  • 2
#15 Gert Madsen

Jeg kan ikke se hvordan et så negativt livssyn, kan bidrage til noget positivt, ud over at sikre at indehaveren ikke bliver skuffet :)

Du er nødt til at erkende at mennesker fejler, og begår forbrydelser. Det er der generelt heller ingen problem med, når vi taler om hr. og fru Jensen. Her er der enorm kontrol.

De store problemer opstår fordi man(nogen) bilder sig ind, at man bliver ufejlbarlig af at få en uniform på, eller blive ansat i en bestemt organisation.

Det gør man ikke!

Derfor findes der ikke noget sted, hvor man kan have 100% sikkerhed for at data ikke lækkes.

Feks. er vores sundhedsdata, som vel er noget af det mest følsomme vi har, rent faktisk blevet sendt steder hen, hvor man ikke har den fjerneste kontrol, eller viden om, hvad de bliver brugt til.

Det er muligt du mener at det er negativt, men vi kommer altså ingen vegne ved at benægte kendsgerninger.

  • 1
  • 0
#16 Peter Stricker

Du er nødt til at erkende at mennesker fejler, og begår forbrydelser.

Men Simon behøver vel ikke at have en så defaitistisk indstilling, at han opgiver ønsket om, at tingenes tilstand skal blive bedre.

Vi har også færdselspoliti selvom vi af og til trykker lidt for hårdt på speederen.

men vi kommer altså ingen vegne ved at benægte kendsgerninger.

Er det så bedre at stikke hovedet i sandet?

  • 1
  • 0
Log ind eller Opret konto for at kommentere