”Jeg er meget bekymret over, at små og mellemstore virksomheder kommer til at tro, de er compliant, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke.”
Ramus Theede har været ansvarlig for it-sikkerheden hos blandt andet Mærsk, NNIT og CSC, og i dag repræsenterer han i interesseorganisationen Digital Europe verdens største it-virksomheder, når EU-kommissionen diskuterer den kommende persondataforordning.
Og han er træt at sikkerhedsfirmaer, der forsøger at score kassen på GDPR.
”GDPR er ikke en sikkerhedsdiskussion overhovedet,” siger han til Computerworld.
Rigtig mange virksomheder er mere eller mindre rådvilde, når det kommer til den nye persondataforordning, og et stort antal sikkerhedsfirmaer står derfor klar til at sælge ro i sjælen med tjenester som ”opnå GDPR-compliance” eller ”minimer risiciene ved GDPR”.
Men ifølge Rasmus Theede kan sikkerhedsfirmaerne slet ikke levere compliance. Og derfor er det problematisk, at de bruger GDPR til at sælge produkter, fordi det skaber falsk tryghed.
”For eksempel er jeg blevet ringet op af et antivirus-firma, der fortalte mig, at hvis min virksomhed gerne ville være compliant, så skulle jeg købe hans produkt. Så bliver man altså lidt harm, når man rent faktisk har en passion for dette her,” siger Ramus Theede.
Ingen one-stop-shop
En af hovedårsagerne til, at Rasmus Theede finder det absurd at sælge sikkerhedsprodukter som compliance, er, at der stadig er masser af usikkerhed om, hvad lovgivningen kommer til at betyde.
Og for hvem.
For selvom forordningen er vedtaget og fremlagt, så skal den stadigvæk implementeres som lov i de forskellige lande – heriblandt Danmark, der blandt andet skal tage stilling til, om offentlige myndigheder skal kunne tildeles bøder.
”70 procent af klausulerne i GDPR fortolkes lokalt," siger Rasmus Theede og undrer sig over, hvordan sikkerhedsfirmaer kan hjælpe andre med at overholde en lov, de i praksis ikke kender endnu.
"I Bruxelles sidder vi stadigvæk og diskuterer, hvordan mange af tingene kommer til at se ud i forskellige lande. Så hvordan kan et sikkerhedsfirma påstå at kunne levere compliance?”, siger Rasmus Theede til Computerworld.
Han understreger, at sikkerhedsteknologier kan være nyttige i forhold til GDPR, og for eksempel kan let overskuelig adgangsstyring være en stor hjælp, når man altid skal kunne dokumentere, hvem der har haft adgang til hvilke data.
Men den erfarne sikkerhedsmand ser ingen grund til at købet et ”compliance-produkt” hos et sikkerhedsfirma. I stedet anbefaler han danske virksomheder at læne sig op af de eksisterende standarder og f.eks blive ISO 27001-certificerede.
Sikkerhedskravene i forordningen er nemlig ikke knyttet til konkrete teknologier.
”Der står altså ikke noget i GDPR om, hvornår du skal patche, eller hvilket IDS-produkt, du skal bruge," siger han.
"Det, der er svært ved GDPR, er for eksempel, hvordan et forsikringsselskab, der har levet af at analysere data de sidste 100 år, pludselig skal implementere retten til at blive glemt. Det får du altså ikke svar på med et sikkerhedsprodukt.”
Læs også: Danske organisationer kæmper med EU's persondataforordning: It-systemer dumper i massevis