EU vil indføre krav for cybersikkerhed til smart-enheder i hjemmet

Det var på tide. Nu må vi se om det så også er noget værd.

Først den klassiske vits: s'et i IoT står for security.

Med hensyn til substansen så tror jeg ikke så meget på tiltaget.

De vil tvinge producebterne til at håndtere de sårbarheder som producenterne kender. Men de kan jo ikek tvinge producenterne til at håndtere de sårbarheder som producenterne ikke kender.

Forslaget giver god mening hvis man tror at producenterne har en lang liste med kendte sårbarheder som de bare ikke gider fixe.

Men forslaget giver ingen mening hvis man tror at producenterne faktisk fixer de sårbarheder de kender, men at problemet er alt det som de ikke kender.

Umiddelbart lyder det sidste scenario mest sandsynligt.

To årsager:
1) Typisk er det ret billigt at fixe en fejl som man kender. Ved man at der sker et bufferoverflow i en funktion, eller at der er åbent for SQL injection ved et web service kald hvad problemet nu er, så er fix typisk selvindlysende.
2) Typisk er fejl ikke fundet ved first ship - de bliver først fundet efter 3 måneder, 1 år eller 5 år i brug. (og det reelle problem er derfor et opdaterings problem)

Ifølge lovudkastet vil producenter fremover skulle redegøre for cybersikkerhedsrisici ved deres produkter og tage fornødne forholdsregler og procedurer for at fjerne disse.

At kaste papiparbejde efter problemet, bureaukraternes løsning på alt:

I udarbejdede ikke dokument 17 tilfredstillende, og dokument 12 havde ikke underskrifter af den tekniske ledelse. Her er der en kæmpe bøde!

vs.

I lavede et IOT apparat med en 7 år gammel Linux platform uden mulighed for updates!

#4 ... jeg er stadig traumatiseret efter at have arbejdet med medical device udvikling.

EU krav eller ej, der er to hovedproblemer med IOT apparater. Pløk åndsvag arkitektur med grundlæggende sikkerhedshuller, og at system platformen, f.eks. Linux ikke bliver opdateret.

Hvis jeg udviklede et IOT apparat ville jeg lave skidtet med henblik på at kunne sætte to tydelige gule klistermærker på produktets indpakning til sidst: 1) "Security and privacy certified by independent experts" og 2) "Automatically updating Linux platform"

Men jeg ville sikker skulle bruge alle resourcerne på at lave dokumenter til EU.

arne_v (3) skrev:

Med hensyn til substansen så tror jeg ikke så meget på tiltaget.

De vil tvinge producebterne til at håndtere de sårbarheder som producenterne kender. Men de kan jo ikek tvinge producenterne til at håndtere de sårbarheder som producenterne ikke kender.

Forslaget giver god mening hvis man tror at producenterne har en lang liste med kendte sårbarheder som de bare ikke gider fixe.

Jeg er uenig. Som det er lige nu er sikkerhed på IoT markedet i mange områder fuldstændigt ikke eksisterende, og problemet er ikke om der findes sårbarheder man kender eller ikke kender. Problemet er manglen på sikkerhedskultur.

Hvis vi ser på den effekt GDPR-lovgivningen fx har haft, så er det at den som minimum har skabt en kultur hvor alle virksomheder og institutioner pludseligt er nødt til at tænke sikkerhed ind i deres daily practice på en helt ny måde. Hele kulturen omkring persondata er blevet permanent ændret. Og det er lidt mit håb at det samme sker her.

Forøvrigt var rigtigt mange IoT-sikkerhedsbrister nogle ekstremt dumme ting: fx standard root-password med root slået til. Hvis man som minimum kan eliminere dem, så synes jeg faktisk man er et stykke af vejen.

#6

Ord som "kultur" og "tænke ind" og "en helt ny måde" lyder meget gode. Men er også ret indholdsløse.

Og tror man at producenterne har en liste med kendte problemer som de har valgt ikke at fixe eller tror man det ikke?

Og jeg tror at du har misforstået GDPR.

GDPR drejer sig primært omkring data privacy ikke omkring security.

GDPR har resulteret i en lang række nye funktionelle krav til IT systemer og processer, som virksomheder har måttet implementere.

GDPR taler også lidt om sikkerhed for data, men det er ret vagt.

Og mens GDPR totalt har ændret situationen for data privacy så har dets betydning for security været minimal.

Forskellen er om kravene er specifikke.

I det her forslag er der noget som producenterne kan implementere:

"Derudover vil producenterne have 24 timer til at indrapportere eventuelle brud til EU’s cybersikkerhedsmyndighed ENISA."

Men:

"Ifølge lovudkastet vil producenter fremover skulle redegøre for cybersikkerhedsrisici ved deres produkter og tage fornødne forholdsregler og procedurer for at fjerne disse."

er mere uklart.

Hvis virksomheden har en liste med kendte ufixede huller må de skulle fixes. Men derudover??

arne_v (7) skrev:

#6

Ord som "kultur" og "tænke ind" og "en helt ny måde" lyder meget gode. Men er også ret indholdsløse.

Og tror man at producenterne har en liste med kendte problemer som de har valgt ikke at fixe eller tror man det ikke?

Og jeg tror at du har misforstået GDPR.

GDPR drejer sig primært omkring data privacy ikke omkring security.

Nu arbejder jeg tilfældigvis i IT-branchen og er i øjeblikket en del af et GDPR-taskforce i en kommune som er ved at udrede hele Chromebook-sagen og hvad der skal gøres.

Og jeg kan garantere dig for at GDPR er tæt forbundet med security. Faktisk er omkring halvdelen af det arbejde vi laver sikkerhedsrelateret. Vi laver stort set ikke andet end at vurdere sikkerhedstiltag lige pt.

Sikkerhed er noget af det som Datatilsynet kigger på i forbindelse med GDPR. De udtalte fx for nyligt kritik af Politiet fordi en af deres selvbetjeningsløsninger, hvor persondata blev behandlet, ikke understøttede tilstrækkelig kryptering.

Men med det af vejen, så er ikke det som er relevant her.

Det relevante er at man med loven skaber en kultur som kigger på det, frem for at det anses som noget der bare skal skubbes i baggrunden, hele tiden kan udsættes eller helt undværes. Nu kan jeg fra mit eget arbejde berette at sikkerhed gik fra at være noget som ledere ikke gad blande sig i og - for nu at sige det ligeud - var ret ligeglade med, til pludseligt at være noget som de er MEGET interesserede i. Dette er i sig selv en kæmpe ændring, også selvom deres interesse måske kun stammer fra et Cover-Your-Ass perspektiv, så alene det at det fylder i deres generelle tankegang, gør, at der tages bedre beslutninger.

Ligeledes er det også min oplevelse at de lytter væsentligt mere til os IT folk omkring det lige pludseligt - det er som om at mine ledere pludseligt sætter dobbelt så meget pris på mit input som før i tiden. Vil du virkeligt påstå at dette ikke er en ændring som er til at tage og føle på? :o)

Og selvom det er en langsommelig proces med at alle skal vænne sig til GDPR, som vi nok først vil se mere eller mindre fuldt implementeret om 15-20 år (GDPR har været et krav i 8 år nu), så kan jeg garantere dig for at implementeringen af GDPR-direktivet kraftigt er ved at forbedre ikke bare privatlivsstandarder, men også vores sikkerhedsstandarder. Og det er ikke pga. specifikke tiltag i loven som kræver at sikkerhedstiltag X, Y og Z skal være opfyldt. Det er fordi loven har ændret selve hele kulturen omkring datasikkerhed. Folk VED det er alvor.

Og det er især de underliggende elementer som er interessante her, og som faktisk skaber en stor forbedring. Eksempler:

1) Risikovurderinger.
Det ændrer lige pludseligt hele den måde man tager ny teknologi til sig på. Før i tiden købte firmaer teknologiløsninger kritikløst - bare det opfyldte deres formål. Men nu skal de løsninger risikovurderes før de kan indkøbes og tages i brug hvis persondata er involveret på bare en eller anden måde. Dette er en fundamental ændring af hele processen af hvordan udvider brugen af teknologi, og det hele bunder igen i at man skal tænke sikkerhed og privatliv ind i det hele - "tænke" værende kodeordet her. Det er ikke de individuelle løsninger der er interessante - det er processen.

2) Vidensdeling.
Kommunerne (hvor jeg er ansat) lige pt. deler erfaringer med IT-sikkerhed og privacy på tværs af hinanden som aldrig før. Hvor de før opererede meget uafhængigt af hinanden, så er de i væsentlig grad begyndt at se til hvad andre kommuner gør, samt også dele erfaringer gennem fx Kommunernes Landsforening.

3) Ansvar.
GDPR har bevirket at man klart og tydeligt har defineret hvor ansvaret ligger (læs: typisk hos alle, i varierende grad). Hvor man før GDPR typisk ville forsøge at kaste ansvaret fra sig hvis der opstod en skandale hvor man på en eller anden måde var involveret, så er det min oplevelse at virksomheder nu mere klar til at tage ansvar og være en del af en løsning.

Det er den slags der rykker. Og ud fra mine erfaringer med GDPR og hele den kulturændring det har skabt i branchen, så er jeg positivt stemt over for EUs kommende direktiv her også vil skabe en lignende kulturændring hos producenter af IoT. Det er ikke bare indholdsløse floskler. Jeg kan SE de ændringer det har skabt i branchen - og jeg er ret begejstret for dem generelt, også selvom jeg ikke nødvendigvis er fan af alle paragraffer i GDPR-direktivet og hvordan de tolkes :-)

Kommer det til at tage noget tid før det sparker r*v? Ja, absolut. GDPR er som nævnt også en 10-20 årig proces før folk forstår hele scopet. Men i det mindste er EU tidligt ude, frem for før i tiden hvor IT-lovgivning altid kom på bagkant - jo før, jo bedre :-)

#8

Hvad du siger er at det offenlige tager 10 år for at opnå hvad vi i den private sektor kan gøre på ét år.

Ikke overraskende :p

Det hjælper nok meget at i vel har fyret alle boomerne der ikke ville samarbejde med andre.

Claus Jørgensen (9) skrev:

#8

Hvad du siger er at det offenlige tager 10 år for at opnå hvad vi i den private sektor kan gøre på ét år.

Ikke overraskende :p

Ja, mere eller mindre. Men havde det ikke været for GDPR, så havde det taget dem alt mellem 30 år og "Aldrig" - og det er det som er min pointe :-)

Athinira (8) skrev:

arne_v (7) skrev:

Og jeg tror at du har misforstået GDPR.

GDPR drejer sig primært omkring data privacy ikke omkring security.

Nu arbejder jeg tilfældigvis i IT-branchen og er i øjeblikket en del af et GDPR-taskforce i en kommune som er ved at udrede hele Chromebook-sagen og hvad der skal gøres.

Og jeg kan garantere dig for at GDPR er tæt forbundet med security. Faktisk er omkring halvdelen af det arbejde vi laver sikkerhedsrelateret. Vi laver stort set ikke andet end at vurdere sikkerhedstiltag lige pt.

Selvom jeg blev ansat som operasanger i det kongelige teater ville jeg stadigvæk synge dårligere end en slidt plæneklipper.

Hvad der er i GDPR kan man jo læse.

GDPR er et kvart stort dokument (88 sider med 173 indledende klamamser og 99 artikler).

Men der er ikke meget om almindelig sikkerhed.

indledende klamamse 39 siger:

"Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing."

indledende klamamse 49 siger:

"The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems,"

indledende klamamse 83 siger:

"In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage."

artikel 5 paragraf 1 (f) siger:

"processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’)."

article 6 paragraf 4 (e) siger:

"the existence of appropriate safeguards, which may include encryption or pseudonymisation."

artikel 32 paragraf 1 siger:

"Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
(a) the pseudonymisation and encryption of personal data;
(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;"

artikel 34 paragraf 3 (a) siger:

"the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;"

Hvilket kan opsummeres til:
- der skal være en "passende" beskyttelse af data
- en oplagt mulighed for beskyttelse er kryptering

Hvilket:

1) ikke er overraskende - ingen vil sige at der ikke bør være en "passende" beskyttelse af data og ingen vil sige at kryptering ikke er en oplagt mulighed
2) ikke er nyt - dette har været best practice og/eller lovgivningsmæssig krav i årtier

Så ingen nye krav.

Det betyder at de oplagte scenarier for samtalen mellem IT afdeling og top chef er:

A)

IT-afdeling: Vores GRPD evaluering viser at: 1) ..., 77) vi krypterer naturligvis allerede person data så ingen ændringer nødvendige her

Top chef: OK

B)

IT-afdeling: Vores GRPD evaluering viser at vi skal til at kryptere person data

Kompetent top chef: I siger at I har kørt ulovligt i 10 år? I er fyret!

C)

IT-afdeling: Vores GRPD evaluering viser at vi skal til at kryptere person data

Inkompetent top chef: Det må vi tage action på. Jeg vil:
- sende alle afdelingschefer på et 3 dages GDRP kursus for at sikre fuld stakeholder opbakning
- hyre 5 konsulenter for at sikre at den fornødne ekspertise er til stede
- nedsætte en task force med IT afdeling, konsulenter og repræsentanter for alle afdelinger
- vi vil sikre effektiv styring med at dagligt 1 times projekt møde
bla
bla
bla
bla

Athinira (8) skrev:

Sikkerhed er noget af det som Datatilsynet kigger på i forbindelse med GDPR. De udtalte fx for nyligt kritik af Politiet fordi en af deres selvbetjeningsløsninger, hvor persondata blev behandlet, ikke understøttede tilstrækkelig kryptering.

TLS 1.0 har været forældet siden 2018. Og det er ikke godt at bruge den. Kritikken er helt velbegrundet.

Men den kritik kunne og burde også være sket uden GDPR.

De henviser til GDPR:

Datatilsynet finder på baggrund heraf, at Rigspolitiet – ved at anvende TLS version 1.0 kryptering i webansøgningsformularen på hjemmesiden for ansøgning om våbentilladelse – ikke har haft passende tekniske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. databeskyttelsesforordningens artikel 32, stk. 1.

På baggrund heraf finder Datatilsynet, at der er grundlag for at udtale kritik af, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Men "Lov om behandling af personoplysninger" fra år 2000 har samme regel.

paragraf 41 stk. 3 siger "Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere."

Athinira (8) skrev:

Det relevante er at man med loven skaber en kultur som kigger på det, frem for at det anses som noget der bare skal skubbes i baggrunden, hele tiden kan udsættes eller helt undværes. Nu kan jeg fra mit eget arbejde berette at sikkerhed gik fra at være noget som ledere ikke gad blande sig i og - for nu at sige det ligeud - var ret ligeglade med, til pludseligt at være noget som de er MEGET interesserede i. Dette er i sig selv en kæmpe ændring, også selvom deres interesse måske kun stammer fra et Cover-Your-Ass perspektiv, så alene det at det fylder i deres generelle tankegang, gør, at der tages bedre beslutninger.

Ligeledes er det også min oplevelse at de lytter væsentligt mere til os IT folk omkring det lige pludseligt - det er som om at mine ledere pludseligt sætter dobbelt så meget pris på mit input som før i tiden. Vil du virkeligt påstå at dette ikke er en ændring som er til at tage og føle på? :o)

Og selvom det er en langsommelig proces med at alle skal vænne sig til GDPR, som vi nok først vil se mere eller mindre fuldt implementeret om 15-20 år (GDPR har været et krav i 8 år nu), så kan jeg garantere dig for at implementeringen af GDPR-direktivet kraftigt er ved at forbedre ikke bare privatlivsstandarder, men også vores sikkerhedsstandarder. Og det er ikke pga. specifikke tiltag i loven som kræver at sikkerhedstiltag X, Y og Z skal være opfyldt. Det er fordi loven har ændret selve hele kulturen omkring datasikkerhed. Folk VED det er alvor.

Og det er især de underliggende elementer som er interessante her, og som faktisk skaber en stor forbedring. Eksempler:

1) Risikovurderinger.
Det ændrer lige pludseligt hele den måde man tager ny teknologi til sig på. Før i tiden købte firmaer teknologiløsninger kritikløst - bare det opfyldte deres formål. Men nu skal de løsninger risikovurderes før de kan indkøbes og tages i brug hvis persondata er involveret på bare en eller anden måde. Dette er en fundamental ændring af hele processen af hvordan udvider brugen af teknologi, og det hele bunder igen i at man skal tænke sikkerhed og privatliv ind i det hele - "tænke" værende kodeordet her. Det er ikke de individuelle løsninger der er interessante - det er processen.

2) Vidensdeling.
Kommunerne (hvor jeg er ansat) lige pt. deler erfaringer med IT-sikkerhed og privacy på tværs af hinanden som aldrig før. Hvor de før opererede meget uafhængigt af hinanden, så er de i væsentlig grad begyndt at se til hvad andre kommuner gør, samt også dele erfaringer gennem fx Kommunernes Landsforening.

3) Ansvar.
GDPR har bevirket at man klart og tydeligt har defineret hvor ansvaret ligger (læs: typisk hos alle, i varierende grad). Hvor man før GDPR typisk ville forsøge at kaste ansvaret fra sig hvis der opstod en skandale hvor man på en eller anden måde var involveret, så er det min oplevelse at virksomheder nu mere klar til at tage ansvar og være en del af en løsning.

Det er den slags der rykker. Og ud fra mine erfaringer med GDPR og hele den kulturændring det har skabt i branchen, så er jeg positivt stemt over for EUs kommende direktiv her også vil skabe en lignende kulturændring hos producenter af IoT. Det er ikke bare indholdsløse floskler. Jeg kan SE de ændringer det har skabt i branchen - og jeg er ret begejstret for dem generelt, også selvom jeg ikke nødvendigvis er fan af alle paragraffer i GDPR-direktivet og hvordan de tolkes :-)

Kommer det til at tage noget tid før det sparker r*v? Ja, absolut. GDPR er som nævnt også en 10-20 årig proces før folk forstår hele scopet. Men i det mindste er EU tidligt ude, frem for før i tiden hvor IT-lovgivning altid kom på bagkant - jo før, jo bedre :-)

GDPR (og tilsvarende lovgivninger andre steder) har ændret kravene til behandling af person data voldsomt. Folk har fået nye rettigheder med hensyn til deres data.

Men der er ikke nye krav til sikkerhed i forhold til ældre regler.

Og der er ikke nye best practices eller markant nye teknologier indenfor sikkerhedsområdet.

I en veldrevet IT afdeling giver GDPR ikke anledning til nye lad os kalde det traditionelle sikkerhedstiltag såsom kryptering - det er allerede på plads.

Men vi lever jo ikke i en perfekt verden. Der er mange ikke-veldrevne IT afdelinger.

Og du har sikkert ret i at der er mange steder hvor sikkerheden har været katastrofalt nedprioriteret gennem mange år og med den offentlige debat og snak om kæmpebøder i.f.m. introduktionen af GDPR har sikkerheden fået et stærkt påkrævet løft.

Kald det en positiv side-effekt.

Men ord som "kultur", "vurderinger", "tænke", "vidensdeling" etc. får mig til at tænke på hvor mange timer der mon bruges i de 2 kategorier:

X)

* reviewe og ændre applikations kode
* reviewe og ændre database opsætning
* reviewe og ændre system konfiguration
* reviewe og ændre netværks konfiguration
etc.

Y)

* møder
* rapporter om problemet
* rapporter om projekt status
* powerpoint præsentationer
* kurser
etc.

Givet at næsten al offentlig software udvikling er udliciteret og en stor del af driften også er udliciteret kunne man frygte at forholdet er 1:10 fremfor 10:1.

#11

IT afdelingen skal ikke vurdere hvad der er rigtigt og forkert i GDPR. Det er hvad man har jurister til.

(Men resten er rigtigt :p)

#13

Meget af GDPR er jura. Mit firmas DPO rapporterer også til firmaets juridiske direktør.

Men der er også nogle spørgsmål som kræver IT ekspertise.

Jævnfør eksemplet med TLS version.

Hvilke versioner af TLS er "passende" sikkerhed. Her er det IT folkene som må sige 1.2 og 1.3.

arne_v (11) skrev:

Hvad der er i GDPR kan man jo læse.

(...)

Men der er ikke meget om almindelig sikkerhed.

Men det var ikke det argument du lavede.

Dit argument var "GDPR drejer sig primært omkring data privacy ikke omkring security." - dette er bare ikke sandt i i praksis. I praksis er GDPR-arbejde i høj grad sikkerhedsorienteret.

At selve GDPR-direktivet ikke hvilke sikkerhedstiltag der opfylder loven er helt irrelevant i den sammenhæng. Det gør direktivet ikke, fordi hvilke sikkerhedstiltag der er passende ændrer sig med tiden. Det betyder ikke at GDPR ikke handler om sikkerhed. Sikkerhed er direkte nævnt i 6 af de 8 citater du trak frem fra direktivet, så at påstå at direktivet ikke drejer sig om sikkerhed er i min verden ekstremt misforstået :-)

arne_v (11) skrev:

TLS 1.0 har været forældet siden 2018. Og det er ikke godt at bruge den. Kritikken er helt velbegrundet.

Men den kritik kunne og burde også være sket uden GDPR.

De henviser til GDPR:

Men "Lov om behandling af personoplysninger" fra år 2000 har samme regel.

Igen er der her forskel på teori og praksis.

I teorien kunne samme regel være anvendt i loven fra 2000 til at påpege at deres løsning ikke er god nok.

Men i praksis ville Rigspolitiet næppe have undersøgt det selv hvis det ikke var for GDPR, og chancen for at andre ville have fundet OG anmeldt problemet til fx Datatilsynet er i min optik også væsentligt ringe.

Grunden til at de har undersøgt det selv, og anmeldt sig selv til Datatilsynet, er for det første den kulturændring jeg snakkede om hvor man er mere opmærksom, men for det andet at der med GDPR er væsentligt større bøder i vente hvis man ikke har styr på tingene. Selvom de to love siger det samme ang. hvad der er påkrævet, så er strafferammen væsentligt anderledes.

Alt taler også for at fx Datatilsynet ikke ville have den størrelse og vigtighed det har i dag hvis det ikke var for GDPR. Jo mere ansvar de har og jo flere penge de får tilført, jo mere vokser deres erfaringsniveau, hvilket også hæver sikkerhedsstandarden.

At en gammel lov fra 2000 har samme paragraf gør altså bare ikke at de to love har samme effekt i praksis.

arne_v (12) skrev:

X)

* reviewe og ændre applikations kode
* reviewe og ændre database opsætning
* reviewe og ændre system konfiguration
* reviewe og ændre netværks konfiguration
etc.

Y)

* møder
* rapporter om problemet
* rapporter om projekt status
* powerpoint præsentationer
* kurser
etc.

Min erfaring siger mig at tidsforbruget for BEGGE er steget :-)

Ja, vi bruger tid på møder mm. omkring Databehandling.
Men når møderne så er overstået, så bruger vi også mere tid på de ting som kan siges at falde i kategori X.

Sagt på en anden måde, så kan man sige at uanset hvor effektivt tingene fungerer og hvad forholder er mellem X og Y, så bliver de i det mindste prioriteret nu. Mange steder var prioriteringen mere eller mindre lig 0 i begge kategorier før :-)

Hos os bruger vi ikke specielt meget tid på møder forvørigt. GDPR-teamet i vores Kommune gør sandsynligvis, men jeg vil sige at mit tidsforbrug til X kontra Y er væsentligt til X fordel.