Kendt dansk sikkerhedsmand advarer mod salgs-gas: "Jeg er meget bekymret over, at virksomheder kommer til at tro, de er compliant med GDPR, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke"

Interview: Sikkerhedsfirmaer står i kø med produkter og ydelser, der skal hjælpe virksomheder med GDPR. Men firmaerne kan ikke levere den compliance, de sælger, advarer dansk sikkerhedsmand.

”Jeg er meget bekymret over, at små og mellemstore virksomheder kommer til at tro, de er compliant, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke.”

Ramus Theede har været ansvarlig for it-sikkerheden hos blandt andet Mærsk, NNIT og CSC, og i dag repræsenterer han i interesseorganisationen Digital Europe verdens største it-virksomheder, når EU-kommissionen diskuterer den kommende persondataforordning.

Og han er træt at sikkerhedsfirmaer, der forsøger at score kassen på GDPR.

”GDPR er ikke en sikkerhedsdiskussion overhovedet,” siger han til Computerworld.

Rigtig mange virksomheder er mere eller mindre rådvilde, når det kommer til den nye persondataforordning, og et stort antal sikkerhedsfirmaer står derfor klar til at sælge ro i sjælen med tjenester som ”opnå GDPR-compliance” eller ”minimer risiciene ved GDPR”.

Men ifølge Rasmus Theede kan sikkerhedsfirmaerne slet ikke levere compliance. Og derfor er det problematisk, at de bruger GDPR til at sælge produkter, fordi det skaber falsk tryghed.

”For eksempel er jeg blevet ringet op af et antivirus-firma, der fortalte mig, at hvis min virksomhed gerne ville være compliant, så skulle jeg købe hans produkt. Så bliver man altså lidt harm, når man rent faktisk har en passion for dette her,” siger Ramus Theede.

Ingen one-stop-shop
En af hovedårsagerne til, at Rasmus Theede finder det absurd at sælge sikkerhedsprodukter som compliance, er, at der stadig er masser af usikkerhed om, hvad lovgivningen kommer til at betyde.

Og for hvem.

For selvom forordningen er vedtaget og fremlagt, så skal den stadigvæk implementeres som lov i de forskellige lande – heriblandt Danmark, der blandt andet skal tage stilling til, om offentlige myndigheder skal kunne tildeles bøder.

”70 procent af klausulerne i GDPR fortolkes lokalt," siger Rasmus Theede og undrer sig over, hvordan sikkerhedsfirmaer kan hjælpe andre med at overholde en lov, de i praksis ikke kender endnu.

"I Bruxelles sidder vi stadigvæk og diskuterer, hvordan mange af tingene kommer til at se ud i forskellige lande. Så hvordan kan et sikkerhedsfirma påstå at kunne levere compliance?”, siger Rasmus Theede til Computerworld.

Han understreger, at sikkerhedsteknologier kan være nyttige i forhold til GDPR, og for eksempel kan let overskuelig adgangsstyring være en stor hjælp, når man altid skal kunne dokumentere, hvem der har haft adgang til hvilke data.

Men den erfarne sikkerhedsmand ser ingen grund til at købet et ”compliance-produkt” hos et sikkerhedsfirma. I stedet anbefaler han danske virksomheder at læne sig op af de eksisterende standarder og f.eks blive ISO 27001-certificerede.

Sikkerhedskravene i forordningen er nemlig ikke knyttet til konkrete teknologier.

”Der står altså ikke noget i GDPR om, hvornår du skal patche, eller hvilket IDS-produkt, du skal bruge," siger han. 

"Det, der er svært ved GDPR, er for eksempel, hvordan et forsikringsselskab, der har levet af at analysere data de sidste 100 år, pludselig skal implementere retten til at blive glemt. Det får du altså ikke svar på med et sikkerhedsprodukt.”

Læs også: Danske organisationer kæmper med EU's persondataforordning: It-systemer dumper i massevis



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Margrethe Vestager ramte ikke Google der, hvor det for alvor gør ondt. Men hun kan nå det endnu
ComputerViews: Googles aktionærer havde blot et skuldertræk til overs for EU's rekordstore bøde på 32 milliarder kroner. Her er en række bud på, hvad EU kan gøre, hvis Google og andre tech-giganter skal rammes, hvor det for alvor gør ondt.
Computerworld
Google svarer igen på Vestagers rekordbøde: Truer med at tage betaling for Android
Google kan begynde at tage penge for Android, der indtil nu har været gratis. Den trussel kommer fra Google i kølvandet på selskabets 32 milliarder-store bøde fra EU.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
Står din infrastruktur i vejen for virksomhedens udvikling? … her er de 10 vigtigste overvejelser
Oplever du, at din virksomheds it-infrastruktur er en stopklods for udviklingen af forretningen, digitalisering og konkurrencekraft? Måske er svaret hyperkonvergeret infrastruktur, hvor software og hardware smelter sammen i én konkurrencedygtig enhed, som er nem at administrere. Men der er 10 meget vigtige overvejelser at gøre sig, før man vælger en løsning. Læs dette whitepaper fra Lenovo og bliv klædt bedre på til at vælge rigtigt. 10 Key Considerations for Selecting Hyper-Converged Infrastructure - What to Know Before You Choose a Solution, Lenovo, 18 sider på engelsk.