Strategi


Fel att bygga ett statligt moln!

Frågan om ett statligt moln innehåller tre delar: säkerhet, kompetens och användarvänlighet. I sin debattartikel berör Johan Christerson de två första och menar att bygga ett statligt moln för staten vore oklokt. Anledningen till diskussionen är FRAs oro för främst säkerhet. Jag delar inställningen att ett eget statligt moln skulle vara mycket olyckligt. Dels på grund av de ekonomiska följder det skulle få, dels för att en sådan lösning kommer att tvinga myndigheter att använda samma lösningar och till slut skulle ingen få det man behövde fullt ut.

07-styrning

Mitt svar är att Ja det är fel att bygga ett statligt moln!

  1. Jag förstår FRAs oro för säkerheten, men just den inlåsning som en statligt moln skulle ge med inflexibilitet för de enskilda myndigheterna behov kommer att generera ett antal ”utbrytnings” försök och utnyttjande av andra produkter för att ”kunna arbeta” och då kommer säkerheten ännu mer att riskeras.
  2. Kompetens skulle än mer centraliseras, med resultat att myndigheterna inte skulle ta till sig nya möjligheter och på sikt halka efter i sin verksamhetsutveckling.
  3. Behovet att tillgodose användarvänligheten skulle minska eftersom alla har samma system.

Sen har vi de konsekvenser det skulle få för samhället i stort. Myndigheter, staten, län och kommuner är stora och viktiga motorer för näringslivet och det skulle minska möjligheten till nya företag och underminera vår ledande ställning i världen på digitala frågor.

Vad man däremot borde göra från statligt håll är att skapa ett tydligt och transparent ramverk för hur relationen mellan statliga verksamheter och molntjänstleverantörer ska se ut. Då skulle staten kunna säkerställa att leverantörerna uppfyller statens krav på säkerhet och tillgänglighet. Det viktiga är att riktlinjerna är tydliga och transparenta och inte ger föremål för olika tolkningar.
Johan Christenson
vd och grundare, City Network

Det är mycket bättre att vi tar fram riktlinjer som stöd till de enskilda myndigheterna och säkerställer att de har medarbetare som förstår både verksamheten och vilka digitala möjligheter det finns samt att bli bättre på att vara kund.

Artikel: FRA vill skapa statligt moln


GDPR, PUL på steroider!

Varje dag inom EU, företag, myndigheter och privatpersoner överföra stora mängder personuppgifter över gränserna. Men motstridiga bestämmelser om uppgiftsskydd i olika länder störa det internationella utbytet. Det gör även att individer kan vara ovilliga att överföra personuppgifter till andra länder om de inte är säkra på vilka rättigheter som gäller. Det är i det ljuset som gemensamma regler införts för att se till att medborgarna har en hög skyddsnivå för de här uppgifterna oavsett de finns i hela EU. Du har rätt att klaga och få upprättelse om dina data missbrukas var som helst inom EU. Men när många ska enas så är det lite spretigt och olika regler gäller för olika länder, det har man velat åtgärda och i somras inleddes de slutliga diskussionerna rörande General Data Protection Regulation (GDPR) och är för närvarande planerad att producera en slutliga versionen nu denna månad (december 2015).

Jag tror det kommer att få större konsekvenser på hur vi måste hantera data i alla dess former än vad många inser. Till viss del är det väl så att vi i Sverige kommer att bli ”minst” berörda på grund av vår gamla kära PUL. Men det kommer vara något alla bör se över, med tanke på att bötesbeloppet är 2% av företagets omsättning eller minst 1 miljon Euro.

Några av de viktigaste punkterna i GDPR är:

  • GDPR kommer att träda i kraft två år efter dagen för offentliggörandet. Dataskyddsdirektivet (95/46 / EG) kommer att upphävas när den slutliga GDPR officiellt publiceras. Däremot kommer lagstiftningen medlemsstaterna vidtagit för att genomföra direktivet inte att upphävas av GDRP. Denna lagstiftning kommer att gälla tills GDPR träder i kraft.
  • GDPR jurisdiktion kommer att nå utanför EU, med extraterritoriell behörighet knuten till erbjudandet av varor eller tjänster till, eller övervakning av registrerade inom EU. Icke-EU-styrenheter som uppfyller detta jurisdiktions nexus kommer att behöva utse en EU-representant ”om behandlingen är tillfällig och det är osannolikt att resultera i en risk för fri- och rättigheter individer”.
  • ”one stop shop” som ger tillsynsmyndigheten verkställighet i en enda medlemsstat i EU har urvattnats.
    Europeiska dataskyddsstyrelsen (en reinkarnation av artikel 29-arbetsgruppen) har etablerat sig som en betydande beslutande organ i tolkningen av GDPR.
  • GDPR kommer att kräva att man samtycker före (inte efter) vilket kommer att ställa krav på korrekt information.
  • Information som ska lämnas till de som registrerar sig fortfarande omfattande, bland annat med angivande av legitima intressen hos den registeransvarige eller de föreskrivna eller avtals krav som åberopas för att motivera behandling (om så är fallet). Registrerade måste också få en förklaring av de olika rättigheter de har i förhållande till de uppgifter som registrerats.
  • Rätten att bli bortglömd och data portabilitet finns kvar, men med tydligare gränser;
  • Bestämmelser över profileringen (det vill säga automatiserade individuella beslutsfattande) har avsevärt förkortats, men det är fortfarande nödvändigt att meddela den enskilde att profilering sker, betydelse och konsekvenserna av profilering och logik inblandade, och att kräva mänsklig inblandning om individen ifrågasätter beslutet.
  • Förslaget innehåller en ny ”Big Data” eller ytterligare avsättning bearbetning populärt kallat det sekundära syftet vilket stramar åt möjligheterna till glidning från det ursprungliga syftet, men samtidigt möjligheten för behandling för oförenliga ändamål i vissa begränsade fall.
  • Kravet på anmälan av data behandling till dataskyddsmyndigheter avskaffas, men ansvariga och registerförare har nu omfattande krav hur hanteringen sker för loggning, dataskydd dels genom planering, dels genom design och standard, och för att kunna visa att deras bearbetning uppfyller GDPR.
  • Bearbetning av hög risk kräver en dataskydds konsekvensanalys, och om lämpliga förmildrande åtgärder inte vidtas, måste den registeransvarige samråda med tillsynsmyndigheten innan man fortsätter.
  • Dataprocessorer kan vara direkt ansvarig för böter och krav från registrerade. Solidariskt ansvar med regulatorn kvarstår, men det kan motbevisas om bearbetningsföretaget eller styrenhet bevisar att det inte var ansvarig för den händelse som orsakade skadan;
  • Krav på anmälningsskyldighet vid risk för att en eller flera individers rättigheter kan befaras. Även individen ska underrättas.
  • Bindande företagsregler kommer att finnas tillgängliga för både ansvariga och registerförare; och
    överföringar i form av EU: s befintliga modellklausuler gäller tills annat beslutas av kommissionen, Tillsynsmyndigheterna kommer inte att kunna kräva förhandstillstånd för att överföra på denna grund.

Personligen tror jag att likställa reglerna över EU är bra, det har spretat alltför mycket allt för länge. Hoppas att vi kan komma tillrätta med en del avarter inom webbhandeln på det här sättet.

Sidor: wikipedia, EU

 

 

 

 

 


Vad är en IT-plan?

I korthet är en IT-plan en sammanställning av vilken informations och kommunikations teknik ditt företag behöver och hur de olika delarna ska samverka för att göra din tjänsteleverans snabbare, bättre och billigare.

I IT-planen ska också innehålla en relation till ditt företags affärsplan och visioner – ledarskap, ekonomi, budget, materiella upphandling och personlig service – alla investeringar ska bidra till en bättre leverans eller mindre kostnader.

En IT-plan bör innehålla följande punkter (minst):

  1. Vår verksamhet
    Beskrivning över hur ert företags mål och visioner med mera korrelerar med IT behoven.
    Man bör forma detta som mål och visioner för IT.
  2. Affärsrelaterade IT behov
    Beskrivning av hur målen för IT hänger ihop med de dagliga behoven.
  3. Strategiska mål
    Vad måste göras för att säkerställa era behov på lång sikt.
    Kopplas gärna till policybeslut.
  4. Framtida händelser
    Vad tror ni kommer att kunna hända, här får man gärna ta med lite mer än vad som är troligt så man inte fastnar i ett sätt att tänka.
  5. Bedömda risker
    Vilka risker ser ni idag och hur planerar ni att hantera dem.
  6. Slutsats
    Sy ihop  vad ni kommit fram, bra för att se om man har några stora luckor.
 pondering_board_800_clr_10974

Sen bör man även regelbundet följa upp vad man skrivit, jag rekommenderar att man går tillbaka och ser vad man skrivit någon gång i kvartalet och att man årligen går igenom sin IT-plan och gör de förändringar som behövs.

Inlägg: före, efter