Hur mycket skadas er verksamhet av GDPR-väntan i molnfrågan?
Väntar du och dina kolleger på ett definitivt svar från EU om de amerikanska molntjänsterna är förenliga med GDPR? Låt inte den rådande ovissheten leda till att ni blir ohjälpligt efter i digitaliseringen, råder Olof Eilertsson, specialist informationssäkerhet på Atea med bakgrund som jurist.
– Den som väljer att avvakta för att se vad som kommer runt hörnet kan stå stilla i sin utveckling väldigt länge, säger Olof Eilertsson.
Varje dag som passerar blir snart till veckor, som snart blir till månader – förlorad tid som ökar ”digitaliseringsskulden”.
– Någon gång måste den betalas av, och det blir inte lättare då. Det kommer att uppstå en ketchupeffekt när EU så småningom kommer med sitt beslut och förtydligande om hur amerikanska molntjänster ska bedömas. Hur blir det för er då? Risken är att ni inte får de resurser ni behöver, med tanke på kompetensbristen i branschen, säger Olof.
Avgörandena är en verksamhetsfråga, inte en it-fråga
Olof Eilertsson
Att efterleva GDPR är bara ett av många krav som ställs på offentliga myndigheter. Om ni blir för försiktiga i den frågan kan det få stora negativa konsekvenser på andra områden.
– Offentliga verksamheter har många krav att leva upp till i sin kärnverksamhet samtidigt som pengapåsen blir mindre. Digitaliseringstakten får därför inte bromsa in. Förväntningarna ökar samtidigt från medborgarna om smidiga digitala lösningar, säger Olof och fortsätter:
– Hur man ska agera för att förhålla sig till GDPR-kraven är inget beslut som ska ligga på it-chefen. Det handlar om verksamhetens behov och styrning. Det finns fortfarande organisationer som avsätter en budget till it-avdelningen med budskapet: styr upp säkerheten. Det är ingen bra modell.
Vad är rätt?
Ni vill göra rätt. Men vad är rätt? Ni har en lång rad lagar, regler och krav som ni behöver uppfylla, understryker Olof:
– På många håll inom både offentlig och privat sektor utgör idag amerikanska molntjänster en förutsättning för att upprätthålla daglig drift och kontakt med medborgare och andra myndigheter. I det perspektivet måste man sannolikt fatta beslut utifrån hela verksamhetens behov, inte bara med hänsyn till GDPR.
Olof gör en jämförelse med privata sektorn som är vana att göra ständiga risk/nytta-avvägningar.
– Förenklat sätter de privata aktörerna en prislapp på sitt risktagande. Om nyttan är större än riskerna så låter man det styra.
Det har helt enkelt en prislapp om den digitala utvecklingen avstannar. Det kan sluta med att konkurrenskraften viker, personal får gå och kunderna säger hej då.
Risk/nytta-analyser behövs även i den offentliga sektorn
Även om förutsättningarna är annorlunda i den offentliga sektorn behövs liknande analyser där, menar Olof.
– Vad händer till exempel om ni inte längre tillhandahåller lika effektiva och smarta digitala verktyg för medarbetarna som möjliggör hemarbete för att samarbeta och kommunicera med kollegor på ett säkert sätt? Eller, vad händer med er attraktionskraft som arbetsgivare om ni inte längre kan erbjuda flexibilitet i hur man jobbar? Vilka bli konsekvenserna i relation till ert uppdrag om ni inte får in rätt medarbetare och kompetens?
Ni behöver se på frågan ur flera olika perspektiv, och jobba både med en kortsiktig och långsiktig strategi, menar Olof.
Kortsiktigt: Ha kontroll över er information
Nödvändigheten av att ha kontroll över sin information är idag uppenbart både i den privata och offentliga sektorn.
Bara om ni har klarhet i vilken information ni har, vilket skyddsvärde den har och var och hur den hanteras kan ni fatta rätt beslut framåt.
– Först när verksamheten har inventerats och ni gjort en klassificering av er information, så vet man vad som är känsligt, och vad som kan ligga i en publik molntjänst och vad som inte kan göra det. Grunden är att man lär känna informationen och hur känslig den är. Ofta kan bulkmängden av informationen köras i publika moln, medan kärninformation kan behöva en annan driftsform.
– Nyligen kom även NIS2-direktivet som syftar till att stärka EU-ländernas skyddsnivå för samhällskritisk infrastruktur. Och vad behöver man veta då? Jo, vilken information man hanterar, och vilka system de går i.
Det är steg ett.
Steg två:
Överväg att göra en exitstudie som en del i riskbedömningen
– Det som kan vara på sin plats i många verksamheter är att utföra en exitstudie som tittar närmare på vad en exit från befintliga verktyg skulle innebära, och hur en alternativ lösning skulle se ut i fråga om olika verktyg och utbildning av personal och så vidare. Att parallellt bedriva omvärldsbevakning är en klok idé så att ni har koll på utvecklingen som sker.
Långsiktigt: Vad är lämpligt?
Frågan om informationshantering har ändrat karaktär den senaste tiden, det är en förändring som kan påverka er långsiktiga strategi. Huvudfrågan har svängt – från att framför allt vara en fråga om lagligheten i att använda amerikanska verktyg, till lämpligheten.
– Med alla spänningar och oroligheter i världen, med allt från krig och elbrist till leveransproblem, så kan det finnas skäl att fråga sig vad som händer om sladden dras ur. Det har seglat upp en diskussion om digital suveränitet, att vi i Sverige borde förfoga över vår egen information. De tankarna bör också finnas med i den samlade riskbedömningen, säger Olof Eilertsson.
Läs mer om molntjänster och datacenter här.