EU och USA överens om nytt dataöverföringsavtal

Faan. Alltså, jag är verkligen för GDPR. Men det är på riktigt ett problem att inte kunna nyttja de stora amerikanska tjänsteföretagen, det kostar offentlig sektor sjuka summor.

Kan du beskriva mer i detalj hur och varför dessa "sjuka summor" uppstår och vilka belopp det handlar om?

Orkar inte sitta här och skriva en uppsats men lite grundläggande info:

För de flesta svenska myndigheter, offentliga verksamheter, bolag etc råder totalt förbud mot alla IT-lösningar som inte är ONPREM alt. SaaS-lösningar ägda av (och driftade av) bolag inom EU. Det betyder att mycket av den digitalisering som skett de senaste fem åren har dessa verksamheter hamnat utanför.

Kan ge ett par enkla exempel:

Digitala möten
I princip alla stora verksamheter med koppling till stat, kommun eller region kör gamla och utdaterade lösningar för digitala möten. Skype for business driftat ONPREM är fortfarande väldigt vanligt. Det är segt, gammalt, saknar massor av funk och jämfört med de vassa alternativen som idag finns på marknaden är det inte lämpat för distansarbete och digitala möten på det sätt "alla andra" kan jobba idag. dels kostar det pengar att hålla igång dessa utdaterade gamla lösningar, dels förlorar man pengar p.g.a ineffektivitet men framförallt läggs en massa pengar i onödan på att försöka skapa eller anpassa egna lösningar så att man ska klara lagstiftningen.

Du kan läsa mer här: https://www.esamverka.se/vad-vi-gor/utvecklingsarbetet-inom-e... - Dom har hållit på med detta hur länge som helst och det finns fortfarande inte något ordentlig standardlösning på plats.

Molnlösningar vs. ONPREM
Det var ganska länge sedan TCO under en lösnings hela livscykel gick break even mellan molnlösningar och ONPREM. Idag är det betydligt billigare att lägga sina lösningar i molnet och nytta de olika tjänsteplattformar som finns. Det som framförallt blir billigare är ju förvaltningen under lösningarnas livstid. Men som sagt, inga av ovan nämnda verksamheter kan nyttja dessa lösningar utan är fast vid en gammaldags serverdrift och infrastrukturdrift.

Utveckling
Idag vill de flesta verksamheter kontinuerligt tillföra ny funk i sina system och lösningar. De flesta större företag som utvecklar egna lösningar kör med någon form av DEVOPS. Det finns såklart massor av olika verktyg och lösningar för detta, men de allra flesta har flyttat i molnet och även om en del finns i ONPREM-versioner också så är det ofta med någon form av begränsning. Både Jira och Azure DEVOPS har gjort ett tydligt kliv mot molnet och är därmed "no no" för offentliga verksamheter. Det både kostar mer och är mindre effektivt att lösa detta i egen miljö.

AI
Det går att spara mycket tid med AI idag. Alla de stora lösningarna som finns på marknaden idag är amerikanska och kan därmed inte nyttjas p.g.a lagkrav.

Förutom dessa exempel finns det massor av andra saker. Det är bara att googla om du är intresserad.

Exakt vilka summor det handlar om vet jag inte. Frågan är om någon vet. Kommer säkert en C-uppsats snart där någon försökt räkna på det om det inte redan finns. Men vi pratar miljarder SEK om året utan problem.

Finns förstås mängder med fler exempel. Exempelvis nämner du inte de enorma summor som går till analyser av dataflöden osv. Bara nyttjandet av M365 måste ha kostat offentlig sektor flera hundra miljoner bara i analysarbeten.

Jotack har gjort ett antal DPIA:s där man typ på förhand redan vet att det är kört. Hörde jag "sunk money"?

Vad ska de med all persondata till? Riktad reklam? Varför är persondata så värdefull? Sitter det någon tjomme och hoardar all persondata någonstans, och likt Joakim von Anka tar sig ett dopp i all data emellanåt?

Orkar inte sitta här och skriva en uppsats men lite grundläggande info:

För de flesta svenska myndigheter, offentliga verksamheter, bolag etc råder totalt förbud mot alla IT-lösningar som inte är ONPREM alt. SaaS-lösningar ägda av (och driftade av) bolag inom EU. Det betyder att mycket av den digitalisering som skett de senaste fem åren har dessa verksamheter hamnat utanför.

Kan ge ett par enkla exempel:

Digitala möten
I princip alla stora verksamheter med koppling till stat, kommun eller region kör gamla och utdaterade lösningar för digitala möten. Skype for business driftat ONPREM är fortfarande väldigt vanligt. Det är segt, gammalt, saknar massor av funk och jämfört med de vassa alternativen som idag finns på marknaden är det inte lämpat för distansarbete och digitala möten på det sätt "alla andra" kan jobba idag. Dels kostar det pengar att hålla igång dessa utdaterade gamla lösningar, dels förlorar man pengar p.g.a ineffektivitet men framförallt läggs en massa pengar i onödan på att försöka skapa eller anpassa egna lösningar så att man ska klara lagstiftningen.

Du kan läsa mer här: https://www.esamverka.se/vad-vi-gor/utvecklingsarbetet-inom-e... - Dom har hållit på med detta hur länge som helst och det finns fortfarande inte någon ordentlig standardlösning på plats.

Molnlösningar vs. ONPREM
Det var ganska länge sedan TCO under en lösnings hela livscykel gick break even mellan molnlösningar och ONPREM. Idag är det betydligt billigare att lägga sina lösningar i molnet och nytta de olika tjänsteplattformar som finns. Det som framförallt blir billigare är ju förvaltningen under lösningarnas livstid. Men som sagt, inga av ovan nämnda verksamheter kan nyttja dessa lösningar utan är fast vid en gammaldags serverdrift och infrastrukturdrift. Och detta gäller även alla leverantörer av olika system som byggt sina lösningar på Azure, AWS etc, dom kan inte heller användas av offentlig sektor.

Utveckling
Idag vill de flesta verksamheter kontinuerligt tillföra ny funk i sina system och lösningar. De flesta större företag som utvecklar egna lösningar kör med någon form av DEVOPS. Det finns såklart massor av olika verktyg och lösningar för detta, men de allra flesta har flyttat till molnet och även om en del finns i ONPREM-versioner också så är det ofta med någon form av begränsning. Både Jira och Azure DEVOPS har gjort ett tydligt kliv mot molnet och är därmed "no no" för offentliga verksamheter. Det både kostar mer och är mindre effektivt att lösa detta i egen miljö.

AI
Det går att spara mycket tid med AI idag. Alla de stora lösningarna som finns på marknaden idag är amerikanska och kan därmed inte nyttjas p.g.a lagkrav.

Förutom dessa exempel finns det massor av andra saker. Det är bara att googla om du är intresserad.

Exakt vilka summor det handlar om vet jag inte. Frågan är om någon vet. Kommer säkert en C-uppsats snart där någon försökt räkna på det om det inte redan finns. Men vi pratar miljarder SEK om året utan problem.

Tack för ett gediget svar. Dock blir jag lite fundersam till att detta är saker som bara skulle påverka just offentlig sektor och vad som i så fall skulle ligga bakom det? Det finns väl vissa regelverk som är unika för offentlig förvaltning, t.ex. offentlighetsprincipen osv. men det bortsett från det vet jag inte vad som skulle göra att just offentlig förvaltning skulle behöva hantera desa frågor annorlunda. Visst finns det delar som hanterar data med hög skyddsgrad om man därför kanske vill/måste ha OnPrem, inte vill mata in i ChatGPT osv, men det gäller väl då även för t.ex. företag inom försvarsindustri, energiförsörjning osv.

Sen ska jag inte sticka under stol med att det var länge sedan jag arbetade inom offentlig förvaltning och att jag därför är dåligt insatt i lagstiftningen som specifikt gäller dessa.

Precis som du säger är det i stora drag allmängiltiga saker som inte är unika för offentlig sektor. Däremot granskas offentlig sektor i mycket större utsträckning än enskilda privata firmor, så de får väl anses vara betydligt mer troligt att eventuella snedsteg uppdagas. Som exempel kan jag berätta att i kommunen där jag jobbar gör revisorfirmor genomlysningar av vår informationssäkerhet varje eller vartannat år (på eget bevåg, inget vi beställt). Därtill får vi frågor varje månad från olika företag som undrar det ena och det andra.

Så det är en ständigt aktuell fråga...

Om det är företag som vill göra obeställda revisioner och ha svar på frågor utan att någon beställt det skulle jag nog anse att det i sig var skäl till oro och försiktighet, men jag antar att du inte riktigt menade det så.

Många företag som banker osv står väl också under tillsyn och där det finns liknande krav med ständiga revisioner med mera. Däremot kan förmodligen typ Nisses Plåt & lackverkstad komma undan med lite mer saker än typ Förskringskassan och Nordea trots att dom egentligen till stor del omfattas av samma lagar och regler, men det gör väl då ändå inte att skiljelinjen går just mellan offentlig och icke offentlig verksamhet.

Men det kanske trots allt finns lagar och regler gällande detta som är specifika för just offentlig förvaltning, därav mina frågor kring detta.

Mnjae, det finns massvis av företag som säljer analyser och rapporter och då lutar sig mot offentlighetsprincipen för insamling av data. Ernest & Young, GARTNER och RADAR är bara några exempel. Så inte nödvändigtvis skäl till oro. Men som sagt, ökar förstås chansen till att eventuella snedsteg uppdagas.

Nu beror det väl på exakt vad som avses med "genomlysning av vår informationssäkerhet" som jag inte varit med om att det genomförts utan att det finns en beställning från de som granskas, bland annat för att man brukar vara ovillig att dela med sig av den typen av information utan stark sekretess. Men det är väl kanske ett stickspår ifrån ämnet.

Tack för ett gediget svar. Dock blir jag lite fundersam till att detta är saker som bara skulle påverka just offentlig sektor och vad som i så fall skulle ligga bakom det? Det finns väl vissa regelverk som är unika för offentlig förvaltning, t.ex. offentlighetsprincipen osv. men det bortsett från det vet jag inte vad som skulle göra att just offentlig förvaltning skulle behöva hantera desa frågor annorlunda. Visst finns det delar som hanterar data med hög skyddsgrad om man därför kanske vill/måste ha OnPrem, inte vill mata in i ChatGPT osv, men det gäller väl då även för t.ex. företag inom försvarsindustri, energiförsörjning osv.

Sen ska jag inte sticka under stol med att det var länge sedan jag arbetade inom offentlig förvaltning och att jag därför är dåligt insatt i lagstiftningen som specifikt gäller dessa.

Det finns inga regler eller lagar som gör att offentlig sektor omfattas extra mycket eller så. Däremot är det så att offentlig sektor altar sig lite extra för att tabba sig när det gäller denna typ av lagstiftning. Dels blir man oftare granskad och dels tar man rent allmänt mindre risker av denna typ. Det sved ju rätt duktigt för ett antal bolag nyligen rörande Google Analytics så dom är inte osårbara heller dock. Men offentlig sektor har tagit en betydligt försiktigare hållning och ligger därmed efter näringslivet.

Kolla på granskningen kring Stockholms stads införande av Zoom X exempelvis. Det tog flera år att införa och ändå skrivs det massor om det och andra myndigheter kritiserar Stockholm öppet kring att dom inte har full lagefterlevnad.

Då kan man kanske summera det hela som att organisationer som står under någon form av tillsyn är mer försiktiga oavsett om de är offentliga eller inte?

Om man bortser från de juridiska detaljerna så är det ett jäkla aber att amerikanska tjänster behöver hanteras annorlunda från tjänster inom EU/EES. Inom offentlig sektor medför detta enorma problem och utmaningar, ... för att man ska kunna använda amerikanska (de facto standard) tjänster istället för att utveckla nytt eller köpa dyr halvmesyr. ...
... man ska inte glömma bort att det sätter krokben för ekonomin och medborgarna när man får svårt att använda de enormt framgångsrika och välfungerande tjänsterna som kommer från USA (Microsoft, Apple, Google... osv.) .

Det är EU som (av goda skäl) hittat på ett regelverk som går stick i stäv med tidigare arbetssätt.
USA vill sälja till EU, och EU vill köpa av USA, men för det krävs att man hittar sätt att jämka gamla invanda arbetssätt med den nya lagstiftningen.

Sen ska man inte glömma att användardata är vad som byggt flera av de stora företagen, ex. Meta och Google.

Men vad är det som gör persondata så otroligt värdefullt för dessa företag? Riktad reklam så klart, men det kan inte bara vara hela affärsidén. Vem sitter och behöver veta allt om den nätanvändande befolkningen? Hur får man fram värdet av persondata? Är det någon som tagit fram en värderingstabell?

Något förenklat används "persondata" som underlag av producenter av kommersiella produkter...

Jag ser inte att detta kan vara till hjälp för att uppfylla GDPR. En springande punkt är att jag som personuppgiftsägare måste ha koll på vilka som kommer åt uppgifterna, dvs alla aktuella medarbetare hos alla de företag som kommer åt datan. Räcker inte att hålla koll ett steg ner.

Jag arbetar själv (bland annat) med detta inom offentlig sektor.
Vill hellre vända på kakan och påstå att grundproblemet är den amerikanska dominansen.
När det gäller videomötesteknik finns i alla fall riktigt bra alternativ från norska Pexip.

När "gamla invanda arbetssätt" är fel/skadliga så ska de bort!
Hur tror du USA reagerat om det i stället var europeiska företag som dominerade och dessa hjälpte myndigheterna att kartlägga alla amerikaner?

... tack vare att den stora massan av människor varit (och fortfarande i stor utsträckning är) omedvetna om vad denna data kan användas till. Ekonomisk framgång betyder inte att det är rätt, utan detta påminner mycket mer om framgångarna hos tobaksindustrin som lagt ner mycket resurser på att mörka farorna.

Dr.Mabuse pekar på ett vanligt användningsområde.

Insamlade data kan också användas för att (i detalj) kartlägga individer som man är intresserad av. Personlig integritet existerar inte i detta sammanhang!

Senaste, väldig enkla, exemplet är att data från en träningsapp användes för att mörda en rysk ubåtskapten.

Vet inte riktigt vad i mina inlägg du debatterar mot. Vi är ju i stora drag överens?

Du förespråkar "business as usual", dvs fortsatt näst intill oinskränkt spridning av användardata bara för att "så har vi alltid gjort", medan jag tycker att dessa affärsmodeller förtjänar att dö.

GDPR är i grund och botten ett sunt initiativ, även om också jag tycker att man går lite väl långt i vissa begränsningar.
Kombinationen av att USA dominerar marknaden och har en ur utifrånperspektiv slapp lagstiftning ställer till det ytterligare när man som i mitt fall även behöver ta hänsyn till Medical Device Regulatory (MDR) och Lagen om Offentlig Upphandling (LOU).
GDPR, MDR och LOU lägger ofta krokben för varandra när det gäller att göra bra val av produkter. Ur ett svenskt perspektiv innebär övergången från MDD till MDR inte en fördel för patienterna, eftersom sjukvården blir dyrare när makten över produkterna förskjutits från vårdgivare till tillverkare.

Hur kommer du fram till att jag förespråkar det?

Jag tycker det framgår ganska tydligt här:
"... Inom offentlig sektor medför detta enorma problem och utmaningar, ... för att man ska kunna använda amerikanska (de facto standard) tjänster...
... man ska inte glömma bort att det sätter krokben för ekonomin och medborgarna när man får svårt att använda... tjänsterna som kommer från USA..."
Tjänster som inte alls fungerar ur ett säkerhets- och integritetsperspektiv ska bannlysas från offentlig sektor, även om användargränssnittet är väl fungerande.