Et krav om GDPR-certificering lurer i horisonten. En belastning og irriterende yderligere byrde? Nej, faktisk det modsatte og en mulighed for at komme helt frem i konkurrencefeltet.
Datatilsynet har netop publiceret en vejledning til opnåelse af GDPR-certificering. Der er på nuværende tidspunkt ingen aktører, der har meldt sig på banen som udbydere af en sådan certificering, men Datatilsynet ville næppe besvære sig med en vejledning, hvis det ikke lå i kortene, at et krav snart bliver aktuelt.
Men uanset om det bliver et officielt krav, kan vi forvente, at det bliver et markedskrav, og derfor bør en certificering være en målsætning.
Skæv – opfattet – ansvarsfordeling
Virksomheder såvel som offentlige institutioner står pt. med store udfordringer i forhold til deres interaktion med brugere og kunder. Meget kort kan udfordringen opsummeres til, at flere både offentlig og private aktører stadig hænger i en forældet opfattelse af ansvarsfordeling.
I den lidt længere version drejer det sig om, at der i lang tid var en udbredt opfattelse af, at brugerne selv bar ansvaret, hvis deres data faldt i de forkerte hænder. Simpelthen fordi de havde opført sig naivt og uforsigtigt.
Med den omfattende digitalisering vi kender fra Danmark, har det naturligvis vist sig ikke at være tilfældet, og mere og mere ansvar er forsøgt placeret hos både offentlige og private aktører. Ultimativt bla. med indførsel af forskellige compliance-regimer til at beskytte brugerne mod alle de ulykker, de ikke selv kan gøre for, de ender i.
Men ét er regler og lovgivning. Noget andet er bevidsthed om sit ansvar og dermed faktisk overholdelse.
Den aktuelle sag om SSI’s brud på GDPR er et godt eksempel. Og det er tilsvarende et godt eksempel på, at IT-sikkerhed er blevet samfundsstof med gule bjælker og skandaleoverskrifter. Den almindelige borger er blevet opmærksom på de katastrofale konsekvenser, hvis personfølsomme data ikke bliver håndteret korrekt, og dem, der ikke løfter opgaven, kommer på forsiden.
Pressen har dog indlysende ikke ressourcerne til at være alle steder på en gang, og så er det i princippet igen op til brugerne at gennemskue, om en aktør overholder reglerne og følgeligt, om de har lyst til at interagere og dele data med vedkommende.
Med mindre…
Da onlinehandel blev hvermandseje, fik kunderne i begyndelsen også ansvaret for at gennemskue de måske lidt for gode tilbud og holde kontooplysningerne tæt ind til kroppen.
Det var imidlertid et alt for stort ansvar at tillægge en sagesløs slutbruger, og aktører, med indsigt og kompetence til at skabe klarhed, kom på banen. I Danmark var e-mærket meget tidligt ude med en certificering. Da de lancerede muligheden for, at webshops kunne få det blå logo på deres site, var markedet stadig umodent, men det har ændret sig markant, og i dag er det nærmest en license-to-operate og et helt afgørende konkurrenceparameter. Kunderne stiller krav, inden de sender deres penge og oplysninger, og en certificering fra e-mærket er en sikker havn for de bekymrede forbrugere, der enten frygter at ryge i klørene på en topprofessionel svindler eller en amatør, der ikke har styr på sin egen sikkerhed og derfor heller ikke kan give den til sine kunder.
Usikre data giver ingen data
Det ville være voldsomt at kalde offentlige institutioner, der ikke har styr på deres sikkerhed og bryder GDPR for amatører. Konsekvensen er imidlertid den samme. Den nødvendige tillid eroderer og bliver erstattet af mistillid. For life science-industrien, der håndterer nogle af de mest følsomme persondata, er dette helt åbenlyst meget problematisk, da både offentlige og private aktørers arbejde er prisgivet tilstrækkelig adgang til disse data. Lukker skattekisten med sundhedsdata, mister de den vigtigste ingrediens til innovation og produktion.
Sikker havn et markedskrav
Brugere, borgere og kunder mangler en sikker havn, hvor de kan stole på, at GDPR faktisk bliver overholdt, og præcis som med e-mærket kan en certificering være det konkurrenceparameter, der gør udslaget. e-mærket er ikke et lovkrav. Men det er et markedskrav. En GDPR-certificering har potentiale til at blive det samme. Med konstante skandalehistorier i medierne og en hastigt voksende bevidsthed blandt brugerne om vigtigheden af beskyttelse, vil efterspørgslen kun vokse.
For at vinde i det løb kræver det, at offentlige såvel som private aktører prioriterer sikkerhed lige så højt, som deres brugere og kunder, og omlægger deres digitale infrastruktur tilsvarende. Det var nok primært det sidste, der var problemet hos SSI, der var tynget af teknisk gæld og legacy, der viste sig langt fra at leve op gældende sikkerhedsstandarder og best practice.
Det kunne dog ret nemt have været undgået. Der er – lidt groft sagt – i dag ingen undskyldninger for ikke at leve op til de højeste standarder for compliance og dermed få adgang til en kommende certificering, brugerens tillid, deres data og deres køb.
Læs mere om alle de forskellige services til overholdelse af GDPR, som AWS stiller til rådighed.