GDPR = COVID-19-hysteri i en tid med fare

Den europæiske persondataforordning og COVID-19 har mere tilfælles end blot at være seje forkortelser, der kunne lyde som hemmelige rumprogrammer.

De viser nemlig begge lignende dynamikker i forhold til de risici, de begge indebærer. Mens COVID-19 er en sygdom for mennesker, som myndighederne har udviklet retningslinjer for at undgå, er GDPR en sygdom for firmaer, som myndighederne også har udviklet retningslinjer for at undgå.

Man kan blive ramt af denne sygdom ved, at man bliver smittet med en virus kaldet Datatilsynet. De kommer og kigger på ens systemer, og afhængig af firmaets immunforsvar (dvs. hvor godt man har forberedt sig) kan det resultere i meget heftige sygdomstegn i form af bøder, der væsentligt svækker firmaets evne til at tjene penge.

Jeg kan huske for mange år siden i 2015, hvor man begyndte at snakke om denne forfærdelige sygdom, som snart kunne komme og ramme os. Den var stadig fjern og uvirkelig ligesom COVID-19 i Wuhan i januar. Men den kom nærmere, og da de første begyndte at blive ramt, greb panikken om sig.

Reaktionsmønstre på noget farligt

Det interessante her er mere reaktionen. For ligesom COVID-19, så var vejledningerne ikke så svære at forstå eller særligt uklare. De var faktisk meget nemme, hvis man satte sig ned og læste dem og prøvede at forstå, hvad man skulle gøre og hvorfor.

Men det har de fleste jo ikke tid til, og i Danmark kan man jo ikke lade det afholde en fra at have en holdning og træffe en beslutning om, hvad der skal gøres. Det medfører desværre nogle bizarre og uhensigtsmæssige situationer. Jeg synes, følgende Coronaanekdoter også i dag meget godt beskriver reaktionen på GDPR:

I krisens begyndelse tænkte jeg, at jeg hellere måtte gå ned og støtte min lokale kaffebar. For eksempel ved at købe en double shot vanilla latte med et touch af kanel og en pain au chocolat. Sjældent har mit over-, under- og mellemjeg været så alignet om en plan, så derfor gik turen ned til kaffebaren (som jeg vil lade være anonym af hensyn til de implicerede).

Vi er på et tidspunkt, hvor myndighederne anbefaler 2 meters afstand, og at butikker højst kan have 15 gæster. Min kaffebar er på samme størrelse som en mellemstor kantine i Ballerupområdet, så det havde jeg ikke skænket en tanke.

Men knap var jeg kommet ind i butikken og stod 6 meter fra kassen, før ekspedienten sagde til mig:"Du må ikke være herinde. Vi kan kun have en kunde ad gangen". Og det var altså tilbage i marts, hvor det faktisk var rigtigt koldt for mine følsomme kinder og næse at skulle stå udenfor og vente. Så blev både over- og mellemjeg (ikke så meget underjeg, men her var vi jo ude i en 2 imod 1-beslutning) fornærmet og tænkte, at så kunne vi da også bare gå hjem og lave vores egen Nescafé og spise lidt kammerjunkere. Så vigtigt var det da heller ikke.

Det interessante i denne historie er ikke min personligheds reaktion på modgang, men tankegangen, der leder folk til at overdrive og opdigte krav for at holde en risiko væk. Det var jo slet ikke nødvendigt at være så restriktiv som at kræve, der kun var en kunde i butikken.

Fast forward et par måneder. Vi begynder at åbne op og kan nu holde konfirmationer med 20 personer derhjemme. Snart kan der være helt op til 50 deltagere i offentlige forsamlinger, hvis de sidder langt fra hinanden og lover Mette ikke at have det alt for sjovt.

Og så slår politiet i USA igen en uskyldig sort mand ihjel, som de har haft for vane de sidste 20-30 år. Så skal vi da have en støttedemonstration på 15.000 mennesker, der går tæt arm i arm i en manifestation, der ville have haft samme effekt, om den omhandlede ønsket om at fjerne solen lidt fra jorden for at gøre klimaet bedre (spoiler alert: Donald Trump og USA's politi kommer ikke til at ændre det mindste på baggrund af en demonstration, de aldrig kommer til at høre om i Danmark, men det er en anden historie).

Risiko og innovation og GDPR

Det er den samme dynamik, vi ofte ser med GDPR. Rundt omkring i en organisation har folk godt hørt om den uhyggelige sygdom. De vil gøre alt for at undgå den.

De færreste har tid til at sætte sig ind i, hvad det præcis indebærer, så de opdigter deres egne regler baseret på overskrifter og genfortalte skrøner. Det har den effekt, at al nyudvikling bliver sat i stå, fordi det skal leve op til alle disse nyopfundne krav.

Alle føler sig ansvarlige og har fokus på sikkerheden. I mellemtiden står alle organisationens kritiske kundedatabaser og snurrer med admin accounts, der har brugernavn: admin, password: admin, som alle udviklere og dbaere bruger, fordi det jo er meget nemmere (For dem, som ikke lige fangede det, så er det ikke en god og sikker praksis, som Datatilsynet vil værdsætte).

Effekten er, at reaktionen på nyudvikling af IT-løsninger er ligesom på min kaffebar: hysterisk og overdrevet forsigtig, mens alle andre etablerede løsninger triller videre på samme usikre og kriminelt uansvarlige måde ligesom en demonstration med 15.000 i en corona lock down-tid.

Hvis vi lige løfter det op endnu et meta-niveau, så betyder det, at reaktionen fremkalder en tilstand, hvor innovation og nyudvikling uhensigtsmæssigt hindres, mens man tror, at det gør organisationen mere sikker. Samtidig fortsætter man uden at indse, det er en risikobetonet adfærd, som øger risikoen. Det vil sige, at effekten bliver den modsatte af, hvad organisationen og alle de dygtige og velmenende mennesker tror, alt imens innovation kvæles.

Men hvad så?

Derfor har jeg efter mange års erfaringer med selvopfundne, ubegrundede krav, der har bremset mine geniale og yderst velgennemtænkte løsninger, lavet min egen ønskeliste til verden.

1. Hvis du mener, der er en sikkerhedsmæssig risiko, så peg på den præcise reference i en officiel regulatorisk kontekst. Hvis du ikke gider dette, er der ikke nogen mulighed for, at folk, der som jeg udvikler nye løsninger, kan validere og eventuelt mitigere risikoen. Det er ikke nok at sige, du ikke synes, det er en sikker løsning blablabla GDPR blablabla

2. Hvis du ikke gider læse persondataforordningen (hvilket der er uendeligt mange gode grunde til), eller i det mindste datatilsynets vejledning i sin helhed, må du meget gerne lade være med at have en holdning til den eller i hvert fald holde den for dig selv.

3. Hvis en ny løsning har nogle minimale sikkerhedsmæssige risici, skal de holdes op imod alle andre løsningers sikkerhedsprofil. Det er ikke nogen kunst at finde et hul i osten. Ingenting er perfekt, men hvis du bruger energien på at tætne et musehul i væggen, mens hoveddøren står åben, er det spild af tid. Det har jeg desværre ofte set. F.eks. er det kommet på mode at have stærk styring af systembrugerkonti, hvilket er fantastisk; men hvis kildesystemets dbaere og udviklere deler den samme konto (admin, admin) med udvidede admin-privilegier, kan det vel være lige meget, om min system bruger til en enkelt tabel, der har kopieret data, opfylder den vildeste password politik, man kan forestille sig.

4. Hav bare en lille smule respekt for, at informationssikkerhed ikke er en triviel øvelse, hvor alt har et selvindlysende svar, men at det faktisk har taget lang tid og krævet snak med mange forskellige interessenter at nå til den løsning, man præsenterer.