Datatilsynets sky(mis)forståelser og velmente råd
’Velment’ er ikke det samme som ‘god’. Datatilsynets ‘gode råd’ for bruk av skytjenester er fryktbaserte og misvisende. Et dårlig utgangspunkt for å skape trygghet og gode relasjoner.
Guiden starter med følgende setning: «Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.» At setningen serverer tre misforståelser er mindre vesentlig enn innstillingen den formidler: «Pass opp, dette er farlig.» Like fullt er det fristende å dvele et øyeblikk ved misforståelsene:
- Ved å konstatere at ‘virksomheten er juridisk ansvarlig’, antyder Datatilsynet at det finnes ansvarsfrie soner. I beste fall misvisende. Virksomheten er alltid juridisk ansvarlig.
- ‘Må sørge for at personopplysningene behandles …’ impliserer at personopplysninger alltid er involvert. Det motsatte er tilfelle. Personopplysninger er unntaket, ikke regelen.
- ‘…som tar i bruk skytjenester…’ indikerer at det finnes et valg. Det var tilfelle for noen år siden. I dag erfarer vi at en voksende andel av IT-drevne tjenester kun finnes som skytjenester. Datatilsynet virker ikke oppdatert på virkeligheten.
Oppegående IT-personer ser svakhetene uten videre. Men oppegående IT-personer er i mindretall i markedet. Derfor er Datatilsynets ‘gode råd’ problematiske. De skaper forvirring, misforståelser og hemmer positiv utvikling.
Innfallsvinkelen kan minne om måten deler av markedet lager anbudsinnbydelser på (se Utviklingshemmende RFPer). Kloke av erfaring spesifiseres kravene til minste detalj, slik at det ikke skal finnes noe å krangle om. De fleste vet bedre. Det vil alltid være noe å være uenige om. Å spesifisere seg til evig troskap og enighet er ikke mulig. Regimet bidrar primært til å frita leverandørene for kreativitet og ansvar. Ved å løfte blikket til å se bildet i stedet for pikslene, kan leverandørene utfordres i stedet for å piskes. Den beste vinner, og når den beste ikke er god nok bytter vi. Exit-strategi er viktigere enn SLA.
Slik også med leverandører av tjenester. Om de er skybaserte eller ikke spiller mindre rolle. (Nesten) ingen spør om strømmen er laget i Sverige, Tyskland eller Alta, strøm er strøm. Dit er vi på full fart også når det gjelder IT-tjenester. Hvilken rolle spiller det om data og prosessering foregår i Frankfurt, Dublin, New York eller Rennesøy? Det som spiller en rolle, er trygghet, kostnader og effektivitet. Mange tror fortsatt at data er tryggere i Norge enn i Dresden eller på Island. De lever frivillig i historien. Vi andre er der ufrivillig – i en periode – mens vi venter på at politikere, byråkrater og enkelte IT-profesjonelle forstår at eierskap til data ikke betyr å vite hvor dataene er, men å ha retten til å regulere tilgang.
Tilbake til Datatilsynets veileder til skytjenester: Vi har siden tidenes morgen kritisert tilsynet for å være hemmende i stedet for fremmende. Datatilsynet tar alltid en problematiserende ‘dette er vanskelig’ vinkel. Alternativet er en ’her er hva som er mulig’ vinkel. Noen mener problematiseringen er nødvendig. Vi mener den er negativ – for Datatilsynet, markedet og landet. Fremskritt har aldri kommet fra fokus på begrensninger, ei heller fra regler skapt av trangsynte politikere og ansvars-adverse byråkrater.
Datatilsynets skytjeneste-råd er velmente, men hemmende for digitaliseringen av Norge. Vi ønsker oss en oppskrift på hvordan moderne IT-baserte tjenester kan utnyttes best mulig uten å komme i konflikt med krav og regler. Og en pådriver for å bringe de samme krav og regler i takt med virkeligheten.
Se også …
- Hvor dataene er? Spiller ingen rolle …
- Narvik kommune skolerer Datatilsynet
- Glem SLA, lag en ‘exit strategy’
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.