Frykt, usikkerhet og tvil

Det å få kunden til å bli redd, usikker og tvilende er en anerkjent salgsteknikk. Så velbrukt er den at den til og med har fått sitt eget navn: FUD, etter det amerikanske «fear, uncertainty and doubt». Kunsten er å psyke kunden tilstrekkelig ut til at han gjør som selgeren vil, enten det dreier seg om velge eller å la være å velge bort. Dette var kanskje mer utbredt i it-bransjens ungdomsår, den gang da selgerne i bransjen kunne så å si tillate seg hva som helst, enn det vi tror om dagens bransje. Det er likevel ikke slik at det ikke finnes rester etter denne strategien lenger, selv i vår opplyste tidsalder.

Alt som har med sikkerhet å gjøre, tigger for eksempel etter FUD. Hvem har vel ikke vært i en presentasjon om en sikkerhetsteknologi, der mesteparten av tiden gikk med til å skissere et skummelt trusselbilde? Det er åpenbart at avsenderen har til hensikt å skremme folk godt og grundig først, før det kommer på tale å komme til saken.

Sett fra en it-sikkerhetsansvarligs ståsted er det muligens bare én ting som er skumlere enn virus, dataangrep og teknologiene vi bruker for å beskytte oss mot dette, og det er lover og regler som har med sikkerhet og personvern å gjøre. Det er sikkert særlig sant akkurat nå for tiden, siden EU har vedtatt et nytt regelverk som kommer til å bli en ny personopplysningslov her i landet, i tillegg til at Safe Harbour-reglementet for databehandling utenfor landets og EUs grenser, ikke gjelder lenger. Den siste der har nylig fått en etterfølger som heter Privacy Shield, men det er ingen utenfor EU-kommisjonen og de amerikanske forhandlerne som foreløpig vet nøyaktig hva den inneholder.

Farvannet er med andre og tilstrekkelig grumsete til at ingen skal bli overrasket over at det dukker opp aktører som har litt god, gammeldags FUD å by på.

Det eldste eksempelet er nivået på bøtene som den kommende personopplysningsloven kommer til å åpne for. Lenge før EU-forhandlerne kom til enighet om den endelige teksten, var det kjent at det var foreslått å øke datatilsynenes rammer, helt opp til fire prosent av synderens brutto årsomsetning. For de internasjonale it-gigantene er dette et helt enormt tall, men også for mindre virksomheter vil fire prosent av brutto omsetning i bot kunne gjøre fryktelig vondt. Dette forslaget overlevde forhandlingene, slik at dette kommer til å blir norsk lov litt utpå vårparten i 2018, antakeligvis.

Dette har enkelte aktører i advokatbransjen lenge brukt som skremselspropaganda. Det å skremme bedrifter til å bli sine kunder kan trygt regnes som FUD, og som nevnt, en velkjent teknikk i sikkerhetsbransjen. Da vi snakket med Datatilsynet om dette, smilte bare Bjørn Erik Thon skjevt, og mente at advokatene er langt mer opptatt av størrelsen på bøtene enn det Datatilsynet er. De vil bare at virksomhetene følger reglene, og er ikke så opptatte av bøter.

For ikke lenge siden ble vi kontaktet av en aktør fra it-sikkerhetsbransjen, som tilbød seg å sette oss nærmere inn i hva Privacy Shield går ut på, og at mange «kritiserer Privacy Shield for ikke å gå langt nok for å beskytte EU-innbyggernes persondata». Tilfeldigvis var vi i et møte med Datatilsynet etpar dager etter at e-posten med det rause tilbudet var mottatt. I møtet kunne imidlertid avdelingsdirektør i Datatilsynets lovavdeling, Kim Ellertsen, fortelle at Datatilsynet ikke visste mer om Privacy Shield-avtalen, enn det som hadde kommet fram i pressekonferansen som EU holdt etter at enighet hadde blitt oppnådd.

Sett i det lyset blir det jo litt merkelig at en markedsaktør kan vite å sette oss inn i denne materien, før Datatilsynet selv hadde fått kikke på avtaleteksten. Datatilsynet hadde på dette tidspunktet forøvrig også blogget om avtalen, og der kunne vi lese at Ellertsen «avventer den endelige konklusjonen til vi har sett hva avtalen sier – noe som tar noen uker å få skrevet ned, ifølge kommisær Jourova».

I iveren etter å være tidlig på banen for å vinne fram i den beinharde konkurransen, ser det altså ut som at bransjeaktører stadig ikke går av veien for å servere litt FUD. Som i alle andre sammenhenger der dette blir servert, er rådet det samme som før: Ingen grunn til panikk. Selv om Safe Harbour er borte og Privacy Shield ikke ennå er på plass, finnes det standardkontrakter utgitt av EU som fint klarer å regulere datautveksling i henhold til gjeldende lover. Ikke er de nye heller, disse kommer fra tidlig 2000-tall.

Og fire prosent av omsetningen i bot, vil ikke komme til å bli tildelt andre enn de aller groveste overtrampene. Vær aktiv, og begynn å jobbe med etterlevelse av den kommende loven, be gjerne Datatilsynet om råd, og sannsynligheten for å få seg en bot i det hele tatt nærmer seg null.

Begge disse tilfellene lar seg altså enkelt løse uten tilløp til FUD.