Der er al mulig grund til at rykke forretningen op i ’skyen’. Og hellere i går end i morgen. Men i dag skal virksomheder have øje for tre væsentlige faldgruber, og det skyldes grundlæggende én mand: Max Schrems.
Den østrigske advokat og aktivist lagde først sag an mod Meta (tidligere Facebook) og EU-kommissionen og fik med EU-domstolens Schrems I- og II-afgørelse bl.a. medhold i, at såkaldt tredjelande, heriblandt USA, skal begrænses i mulighederne for adgang og overvågning af europæiske virksomheder og borgeres data og personoplysninger.
“Kort sagt sikrede Max Schrems, at der blev strammet gevaldigt op i kravene vedrørende udveksling af data og personoplysninger mellem EU og resten af verden,” siger Sune Krings, Accentures danske direktør for digitalisering af den finansielle sektor.
Han mener, at domsafgørelserne mere eller mindre direkte fordrer særligt tre forbehold, når danske og europæiske virksomheder vil eller allerede er begyndt deres opstigning i ’skyen’.
“Den første handler om kontrakten med cloud-leverandøren. Virksomheden er i dag nødt til at sikre sig, at cloud-leverandørens adgang til deres data er begrænset i en grad, der som minimum lever op til de europæiske databeskyttelseslove.”
En øvelse, der er lettere sagt end gjort. For det kan meget hurtigt blive komplekst, hvis leverandøren eller nogle af dennes underleverandører er placeret uden for EU, hvor der vil gælde andre regler for beskyttelse af data. Det grundige hjemmearbejde er derfor alfa og omega, når den givne virksomhed skal indgå aftale med en cloud-leverandør.
“Er leverandøren global, vil deres forretningsmodel som regel være bygget på ensartede leverancer, hvor de færreste danske virksomheder vil have tyngde nok til at fremtvinge en art undtagelse-fremfor-reglen-situation. Og så må den ultimative konsekvens blive, at samarbejdet ophører, og virksomheden vil være nødsaget til at starte forfra med en ny leverandør,” siger Sune Krings.
Er der styr på kravene om datasikkerhed, præsenterer næste benspænd sig som oftest i organisationens evne eller mangel på samme til at automatisere en overvågning og monitorering af den nyerhvervede cloud-løsning.
“Virksomheder, der ikke får indbygget automatiske processer, kommer hurtigt til stå med et bjerg af manuelt arbejde. Og resultatet af det bliver altid kraftige begrænsninger af den funktionalitet, fleksibilitet og agilitet, som cloud-servicerne ellers potentielt kunne have haft for virksomheden,” siger Sune Krings.
Han peger på, at måden, hvormed virksomheder typisk udvikler cloud-platformene, er ved at sætte dem sammen af forskellige it-komponenter.
”Men her er du igen nødt til at sikre dig, at de forskellige komponenter overholder reglerne om blandt andet førnævnte datasikkerhed. Så der skal opstilles regler for, hvilke it-komponenter der må bruges, og hvis det gennemsyn ikke automatiseres, overbebyrder du ikke alene dine udviklere, du kommer heller ikke til at have kontrol eller kunne begrænse, hvad de må og ikke må.”
Uddelegering af ansvar er ifølge Sune Krings den tredje og sidste væsentlige faldgrube for virksomheder, der vil eller er i gang med at gå i ’skyen’.
“Der er enormt meget opmærksomhed på det her område, og har du som bank eller forsikringsselskab ikke styr på dine kunders følsomme data, så lander du hurtigt i en mediestorm
Sune Krings, Accentures danske direktør for digitalisering af den finansielle sektor
“Et så omkostningseffektivt værktøj, som cloud-systemer kan være for virksomheden, lige så omkostningsfulde kan de hurtigt ende ud med at blive, hvis der ikke er tydelighed omkring, hvem der har ansvaret for hvilke typer af data. Hvem sidder eksempelvis med ansvaret for det forretningsmæssige data, og hvem har ansvaret for kundedataen?” siger han og fortsætter:
“Jeg mener, at det ansvar grundlæggende skal placeres i bestyrelsen og direktionen. Er man gået cloud compliance-vejen, så skal ledelsen uddannes i, hvad ansvaret betyder, og hvordan de varetager det, for det er den eneste måde, at det får den fokus og prioritet, som er nødvendig, hvis forretningens transformation op i clouden skal lykkes.”
Halter det for virksomheden i én eller flere af ovenstående områder, vil mulige konsekvenser kunne være en kritik fra datatilsynet eller en bøde. Men for finanssektoren, som Sune Krings arbejder med, vil bøder og kritik langt fra være værste konsekvens.
“Det korte svar er nej. Der vil altid være risici ved det her, så spørgsmålet bør nærmere være, hvad du som ledelse vurderer, er acceptable risici?
Sune Krings, Accentures danske direktør for digitalisering af den finansielle sektor
“Der er enormt meget opmærksomhed på det her område, og har du som bank eller forsikringsselskab ikke styr på dine kunders følsomme data, så lander du hurtigt i en mediestorm, og tilliden fra din kunder til din forretning vil unægteligt lide et alvorligt knæk. Det er her, den rigtige hovedpine begynder,” siger han.
Men er der derimod styr på faldgruberne, kan man så se sig fri af mediestorme og knæk i forbrugernes tillid?
“Det korte svar er nej. Der vil altid være risici ved det her, så spørgsmålet bør nærmere være, hvad du som ledelse vurderer, er acceptable risici?” siger Sune Krings og fortsætter:
“En vurdering kunne eksempelvis være, hvilke typer af data, der kunne være interessante for udenlandske myndigheder, og hvad er det så for mekanismer - eksempelvis kryptering - man med fordel kan skrue på, så man sikrer, at det alene er virksomheden selv, der kan få adgang.”
Men når det er sagt, pointerer Sune Krings, så må risikovurderingen heller aldrig resultere i, at virksomheden holder for meget igen eller i værste fald helt afholder sig fra at bringe deres forretning op i ’skyen’.
“Jeg fornemmer, at vi begynder at nærme os et ‘tipping point’, hvor it-leverandørerne udelukkende kommer til at levere deres løsninger som cloud-services. Det er dét, kunderne efterspørger. Tænk blot på generationen, der kommer nu. De er vokset op med en smartphone i hånden, og der bliver du som CEO og organisation nødt til at forstå, hvordan du møder og servicerer deres behov,” siger han og peger på finanssektoren som et oplagt eksempel:
“De gider ikke at ringe til en bankrådgiver, når de skal tilgå bankens ydelser. Det skal ske hurtigere, og de vil selv. Det kræver en bank, der har bygget sin forretning op omkring cloud-platforme,” siger Sune Krings og understreger igen, at den proces hellere bør være startet i går end i morgen.
“Hvis organisationen ikke øver sig, ikke får styr på procedurerne og lært, hvordan de arbejder med cloud-platforme, så står de rigtig snart med et problem i forhold til konkurrencedygtigheden. For du kan ikke bare gå ud og købe det, og så kører det. Det er en øvelse, og den tager tid - både i forhold til det tekniske og det juridiske aspekt.”
Blev her klogere på, hvordan I skaber den bedst mulige transformation op i 'clouden'
