#RISK Gründer Nick James im Gespräch mit Steve Wright

 

Transkript:

Nick James:

Hallo, ich bin Nick James, Gründer der #RISK Series Events, die im November 2022 in London beginnen. Ich freue mich, heute von Steve Wright begleitet zu werden. Steve ist eine der führenden britischen Autoritäten für Datenschutz, Privatsphäre und Sicherheit. Und nach einer 30-jährigen Karriere in Organisationen wie Unilever, Bank of England, PWC und Deloitte gründete er vor drei Jahren sein eigenes Unternehmen, Privacy Culture. Steve, willkommen.

Steve Wright:

Schön, hier zu sein, Nick. Danke.

Nick James:

Wirklich, wirklich schön, dich wiederzusehen. Ich wollte eigentlich nur die erste Frage stellen, warum Sie sich entschieden haben, das Unternehmen Privacy Culture zu nennen.

Steve Wright:

Ja, das ist eine gute Frage. Es ist wirklich ganz einfach. Es entstand aus Frustration. Als ich Datenschutzbeauftragter und Informationssicherheitsbeauftragter für John Lewis Partnership war, wurde mir klar, dass ich viel Geld und viel Zeit ausgegeben und mich sehr bemüht habe, Menschen auszubilden und zu schulen. Und was damals wirklich ein Kampf war und immer noch ist, war, wie messe ich, wie gut aussieht?

Steve Wright:

Also fing ich an, an einer Art von Metriken zu arbeiten, einem Framework, und dieses Framework entwickelte sich. Und als ich dann mit Privacy Culture anfing, investierte ich immer mehr Zeit und Mühe hinein, arbeitete mit einer Universität zusammen, um dann eine Methode zu entwickeln, um die Einstellungen und Verhaltensweisen der Menschen zu messen, denn was ich für das Risiko hielt, waren in Wirklichkeit hauptsächlich wir. Wir waren das schwache Glied in all den Strategien, die ich für Unilever, John Lewis und die Bank of England durchgesetzt habe. Es ging nur darum, wie der menschliche Aspekt all diese großartigen Dinge im Stich lassen konnte, all dieses Geld, das wir für Technologie ausgaben.

Steve Wright:

Also kam ich zu dem Schluss, dass es um Kultur ging, und gründete daher Privacy Culture mit dem einzigen Ziel, zu messen und zu vergleichen und die Menschen dann zu schulen, anders zu denken, anders zu handeln. An einem Sommermorgen kam mir Datenschutzkultur in den Sinn, und ich dachte nur, ja, das war’s. Darum geht es eigentlich. Was ich tun möchte, ist Organisationen dabei zu helfen, eine Kultur der Privatsphäre wirklich zu verankern. Deshalb heißt es Datenschutzkultur.

Nick James:

Steve, danke. Dann hält es also, was es verspricht. Ich wollte mich der Umwelt- und Sozialführung zuwenden, ESG. Offensichtlich hat es in den letzten Jahren die Unternehmensagenda nach oben katapultiert. Wo sehen Sie die Rolle des Datenschutzes in ESG?

Steve Wright:

Das ist eine großartige Frage, Nick, denn ich denke, wir werden mehr Vordenker in diesem Bereich sehen. Im Moment ist es fair zu sagen, dass es ein bisschen fehlt. Wir haben dieses Delta, diese Lücke zwischen dem, was wir da draußen sehen oder was bereits da draußen ist, und dem, was getan werden muss. Und deshalb freue ich mich, Ihnen mitteilen zu können, dass wir tatsächlich ein kleines Projekt gestartet haben, ein Mini-Projekt, um sich das anzusehen und mit der Erstellung einiger dieser Kartierungen zu beginnen.

Steve Wright:

Was ich Ihnen sagen kann, ist, wenn ich ein Beispiel nehme, das einfachste Beispiel ist das Aufbewahren und Löschen. Nun, wir alle wissen, dass dies Teil der Vorschriften ist, für die Sie keine Daten aufbewahren sollten … Offensichtlich wird es auf der richtigen gesetzlichen Grundlage geschehen, aber ist es auch unangemessen? Halten oder speichern Sie die Daten länger als für den Zweck der Verarbeitung erforderlich? Und diese Frage bezieht sich direkt auf Aufbewahrungs- und Löschrichtlinien, was eine große Herausforderung für Menschen sowohl in der Cybersicherheit als auch in der IT und im Datenschutz darstellt. Und ich denke, der ESG-Aspekt des Löschens der Aufbewahrung kann dann zurückübersetzt werden zu: Nun, wenn wir all diesen zusätzlichen Speicherplatz kaufen, weil Plattenspeicher bekanntlich den Tiefpunkt erreicht, ist er wirklich, wirklich billig.

Steve Wright:

Was wir tun müssen, ist darüber nachzudenken, was die Umweltauswirkungen dieses Plattenspeicherplatzes oder dieser Kapazität die Umwelt kosten. Mit anderen Worten, wenn ich das E, die Umweltseite, nehme, was ist der CO2- oder CO2-Fußabdruck von Aufbewahrung und Löschung? Es geht also nicht nur um die rechtlichen Aspekte im Datenschutz und in Sicherheit und Technologie an sich, sondern es geht tatsächlich darum, was der Fußabdruck ist. Und tatsächlich können Sie das auf viele andere Bereiche übertragen, etwa wenn Sie Ihre unternehmerische Verantwortung mögen, von der einige Leute sagen, dass es das ist, worum es bei ESG geht.

Steve Wright:

In Bezug auf die Rechte, wenn Sie an den gesellschaftlichen Aspekt von ESG denken, welche Rechte müssen gewahrt werden? Wenn wir also sehr viel über Risiken und Vertrauen nachdenken und wie diese Beziehung zwischen dem, was wir tun, dem, was wir als Organisation tun werden, und wie sich das dann in einigen dieser Rechte niederschlägt? Sie können also beginnen, die Art von schwacher Beziehung zwischen der Umgebung, dem Sozialen und dann offensichtlich der Governance-Seite davon zu sehen, insbesondere in Bezug auf Daten. Wie stellen wir sicher, dass die Datenverwaltungsprozesse, der Zugriff auf die Daten, wo sich die Daten befinden , wie stellen wir dies aus Governance-Perspektive sicher und wie geben wir unseren Kunden und unseren Mitarbeitern die Gewissheit, dass wir über die richtigen Kontrollen und die richtigen Mechanismen verfügen, um diese Governance sicherzustellen?

Steve Wright:

Das berührt wahrscheinlich auch Ihre nächste Frage, Nick, bei der es um Datenethik geht. Sie können also sehen, dass ESG in diesem sehr kurzen Beispiel ein ziemliches Spektrum spezifischer Artikel und Anforderungen sowohl im britischen Datenschutzgesetz als auch in der DSGVO sowie eine ganze Fülle anderer Datenschutzgesetze auf der ganzen Welt abdecken kann. Gleichzeitig kann es auch auf Sicherheitsstandards wie die ISO 27-Reihe und/oder das NIST-Framework abgebildet werden. Also haben wir ein Projekt gestartet, um uns dieses Mapping anzusehen, und wir haben eine Mutter einer Excel-Tabelle, die gerade formuliert wird, und wir arbeiten mit einigen führenden Akademikern und einigen Leuten in der Branche zusammen, um zu versuchen, dies zusammenzubringen und finden Sie heraus, was diese direkte Beziehung zwischen ESG und Datenschutzbeauftragten sowie Datenschutz und Cybersicherheit ist.

Nick James:

Wow. Steve, nicht nur eine umfassende Antwort auf eine Frage, sondern du hast meine nächste vorweggenommen. Ethik, über die wir gesprochen haben, ist offensichtlich eine wichtige Überlegung in der Welt von GRC. Ich wollte Ihnen eine spezielle Frage zu den Auswirkungen von Voreingenommenheit in der künstlichen Intelligenz als KI stellen und was dagegen getan werden sollte oder kann.

Steve Wright:

Nun, noch einmal, es ist eine große Frage und es ist … Das Problem … Nun, wo soll ich damit anfangen, Nick, denn es ist ein Risiko und es ist ein inhärentes Risiko, wenn Leute Systeme und Programme erstellen und sie dafür entwerfen Vorurteile sind in uns. Auch dies geht auf die Kultur zurück, wo die Umgebung, in der wir aufgewachsen sind, oder die Bedingungen, denen wir während unseres Wachstums und unserer Entwicklung ausgesetzt sind, manchmal diese Vorurteile formulieren können, und dies lässt sich zu Recht auf bestimmte KI und ML übertragen. Und leider ist es … Nun, es ist bedauerlich, aber es ist auch ein Glück, da können tatsächlich einige gute Dinge dabei herauskommen. Und deshalb denke ich nicht, dass es nicht unbedingt etwas Negatives ist, aber es gibt definitiv ein Argument dafür, einen angemessenen ethischen Rahmen zu haben, wenn es darum geht …

Steve Wright:

Nun, sagen wir mal so. Wir haben hier bei Privacy Culture unser eigenes ML-Projekt erstellt. Wir nehmen all diese Daten, aber wir legen den ethischen Rahmen um das fest, was als gruselig, gespenstisch oder unethisch angesehen wird. Und wir haben das angewendet, und Sie können Überprüfungen erstellen, um sicherzustellen, dass Sie diese roten Linien nicht überschreiten, wenn Sie möchten, oder dass Sie nicht zu nah am Wind segeln. Aber leider wird es immer Vorurteile in der KI geben, weil sie von Menschen programmiert werden. Und es geht nur darum sicherzustellen, dass ein guter ethischer Rahmen vorhanden ist, damit Sie das überprüfen können. Und das ist nicht kompliziert. Es mag so klingen, aber es ist eigentlich ganz einfach. Ich denke, das Wichtigste hier, worauf Sie angespielt haben, ist, dass es um Risiken geht, und es geht nur darum, dass angemessene ethische Verfahren vorhanden sind, um sicherzustellen, dass Sie diese Grenze nicht überschreiten und diese Risikogrenzen nicht überschreiten .

Steve Wright:

Und nur der letzte Gedanke dazu, Nick, ist für mich, dass dies das Herzstück der Privatsphäre ist. Ich werde oft gefragt, was der Konflikt zwischen einem Cybersicherheitsexperten und einem Datenschutzexperten ist. Und der Konflikt, besonders als ich diese Rolle hatte, war ein ethischer, denn es ist eine Sache, Daten zu sichern und zu schützen, und es ist eine ganz andere, darüber nachzudenken, was man ethisch mit den Daten macht. Und ist das richtig? Und würde ich mich über diese Verwendung von Daten freuen, geschweige denn über deren Rechtmäßigkeit? Würde es sich für mich gut anfühlen? Ich denke also, dass alles auf eine Frage des Risikos und der Verhältnismäßigkeit zurückgeht und sicherzustellen, dass es angemessen ist. Und offensichtlich, dass es legal ist.

Nick James:

Steve, ich meine, das ist keine Frage, aber ich schätze, es ist eine Beobachtung zu dem, was du gesagt hast. Wenn wir Dinge betrachten, die von Menschen gebaut werden, dann müssen wir unter anderem darauf achten, dass wir eine Vielfalt von Menschen haben, die diese Dinge erschaffen, damit jeder Standpunkt von Anfang an berücksichtigt wird. Und wir betrachten es nicht nur aus der Sicht eines weißen männlichen Programmierers, das wird offensichtlich Vorurteile nach links, rechts und in der Mitte hervorrufen. Und nicht politisch links, rechts und Mitte. Nein.

Steve Wright:

Dem kann ich nur zustimmen, Nick. Ich denke, das ist eine gute Beobachtung. Es ist. Vielfalt und Inklusion liegen uns bei Privacy Culture wirklich am Herzen. Wir achten sehr darauf, wie Sie sagten, nur diese Art von stereotypen Programmierern zu haben, einen 20-jährigen, vielleicht männlichen Programmierer. Zufällig haben wir einen Data Scientist, der ist eigentlich männlich. Und wir haben auch eine andere, die weiblich ist. Also haben wir diese gute Balance. Und das funktioniert wirklich sehr, sehr gut, denn wenn wir an solchen Projekten arbeiten, kommen wir von verschiedenen Seiten des Gehirns. Und das kommt wirklich durch, besonders wenn sie programmieren.

Nick James:

Steve, unser Slogan für #RISK lautet, Risiko geht jetzt alle etwas an. Glauben Sie, dass die jüngsten Ereignisse die globale Risikolandschaft für immer verändert haben?

Steve Wright:

Oh, das ist eine sehr gute Frage. Nun, es hängt davon ab, auf welche Ereignisse Sie sich beziehen, aber ich glaube nicht, dass die jüngsten Ereignisse unbedingt meine Gedanken oder meine Prozesse verändern. Es beeinflusst einfach irgendwie meine Gedanken und meine Prozesse. Und ich denke, das ist die Sache mit dem Risiko, es ist uns allen innewohnend. Wir überqueren die Straße, ohne darüber nachzudenken, aber wenn wir ein Haus kaufen oder irgendwo in den Urlaub fahren, dann können Ereignisse und Umstände, die jetzt passieren, das beeinflussen und Sie zum Nachdenken zwingen etwas anders darüber. Ich nehme an, ich glaube nicht, dass es unbedingt etwas Neues ist. Ich denke, wir machen das seit Tausenden von Jahren. Es ist nur noch akuter, dass wir dieses Risiko besser artikulieren können.

Steve Wright:

Und Sie dürfen nicht vergessen, dass ich, als ich die Universität verließ, eine Ausbildung zum Underwriter absolvierte. Meine erste Aufgabe bestand also darin, das Risikoprofil dieser verschiedenen Organisationen zu untersuchen und zu verstehen, damit wir dann die richtige Prämie ermitteln konnten. Das hat sich nicht geändert und ist für mich ganz selbstverständlich geworden. Und ich bin mir sicher, dass es vielen Menschen so geht. Wir versuchen, Dinge zu tun und darüber nachzudenken, was die Auswirkungen sind und was die Ergebnisse sind und was ein gutes oder schlechtes Ergebnis sein könnte. Und hoffentlich ein gutes Ergebnis. Ich denke also, dass das #RISIKO und tatsächlich all die gute Arbeit, die das GRC World Forum und andere Organisationen in diesem Bereich leisten, nur daran erinnert und mehr Klarheit und Beispiele dafür bietet, wo Risiken eingegangen werden.

Steve Wright:

Abgesehen davon, Nick, arbeite ich immer noch mit einer Reihe von Blue-Chip-Unternehmen zusammen. Und es gibt Dinge, die in Organisationen passieren, wie blinde Flecken, um bestimmte Risiken zu formulieren. Und so können Unternehmen zufrieden sein, dass sie das Risiko-Framework eingerichtet haben. Und die Rigidität dieses Risikorahmens ist in mancher Hinsicht gut, aber eigentlich muss man in unserem unternehmerischen Startup-Gefühl der Welt viel mehr Risiken eingehen und Dinge ausprobieren. Und so lernen wir. Wir versuchen es, wir scheitern, wir versuchen es erneut. Aber wenn wir diesen Aspekt einer guten Risikoformel haben, um dann zu artikulieren, was diese Risiken sind, ein bisschen wie die Datenschutz-Risiko-Folgenabschätzung oder die Sicherheits-Folgenabschätzung, dann ist das nur eine präventive Art, was schief gehen könnte, was-wäre-wenn-Szenarien , das sollten wir alle tun.

Steve Wright:

Und ich denke, mein letzter Punkt ist nur, dass ich glaube, dass wir viel besser darin geworden sind, dies zu artikulieren, aber gleichzeitig mache ich mir Sorgen, dass wir uns so sehr auf diese Risikorahmen und Methoden verlassen dass wir fehlen. Es ist so etwas wie die unbekannten Unbekannten, wenn Sie so wollen.

Nick James:

Lassen Sie uns Rumsfeld nicht dazu bringen [unverständlich 00:16:41]. Wir haben viel über Governance, Risiko, Ethik, Sicherheit, Datenschutz und darüber gesprochen, wie sie alle untrennbar miteinander verbunden sind. Die große Frage, denke ich, ist, glauben Sie, dass die Vorstände, glauben Sie, dass die C-Suite das versteht und wie können Führungskräfte daher den Ton angeben?

Steve Wright:

Ja, denke ich tatsächlich. Als ich vor vielen, vielen Monden bei PWC war, erinnere ich mich, dass ich vor dem Vorstand über Cybersicherheit gesprochen habe. Und es war wirklich, es hieß damals nicht Cybersicherheit. Es war schwer. Es war wirklich, wirklich schwer. Aber ich denke jetzt, zum Beispiel Cybersicherheit, Ethik, sicherlich Daten gehören wahrscheinlich zu den fünf größten Risiken für die meisten Vorstände. Ich denke, die Herausforderung, Nick, bleibt jedoch, dass … Tatsächlich habe ich am Wochenende gelesen, dass es eine potenzielle Regulierung durch die SEC gibt, die großartig für regulierte Unternehmen ist, aber nicht so großartig für die nicht regulierten, denken darüber nach, einige dieser Anforderungen für alle Organisationen in Bezug auf Cyber-Risiken usw. verbindlich zu machen, was sehr interessant ist. Aber ich denke, wir haben immer noch eine kleine Lücke, und diese Lücke betrifft insbesondere die Eigentumsverhältnisse.

Steve Wright:

Ich hatte das Vergnügen, bei John Lewis Partnership zu arbeiten. Und eine der ersten Aufgaben, die wir abgeschlossen haben, bestand darin, die relevanten Dateneigentümer in den Vorstand zu holen, wie den Chief HR Officer, den Chief Marketing Officer und den Chief Finance Officer für Rentendaten usw., die verantwortlich und rechenschaftspflichtig sind. Und ich denke, da haben wir noch einiges vor uns. Und ich denke, insbesondere im Datenschutzbereich, weniger im Bereich Cybersicherheit, gibt es jetzt ein Vorstandsmitglied, das für Cyber verantwortlich ist.

Steve Wright:

Aber ich denke, um Ihre spezifische Frage zu beantworten, können Führungskräfte den Ton angeben? Absolut. Ich denke, es gibt viel mehr Spielraum für Unternehmensleiter, sich zu äußern und zu sagen: Das ist unsere Position zu Daten. Das ist unsere Position zum Thema Vertrauen. Dies ist unsere Position zur Cybersicherheit und seien Sie kühn und mutig genug, dies zu sagen. Und ich nehme an, das einzige Beispiel ist, dass Organisationen wie Alan Jope von Unilever herauskamen und sagten: „Wir unterstützen russische Unternehmen nicht länger mit X, Y und Z.“ Angesichts der Größe von Unilever und des russischen Marktes ist das eine mutige und mutige Aussage. Aber er und der Vorstand fühlten sich offensichtlich gezwungen, das zu sagen und diese Erklärung abzugeben, was eine gute Sache ist. Ich habe einfach das Gefühl, dass es nicht genug davon gibt. Und besonders in Bezug auf den Datenschutz würde ich gerne sehen, dass mehr von dieser Führung dieses Vorstands tatsächlich aufstehen und sagen: Schauen Sie, wir nehmen den Datenschutz wirklich ernst. Wir glauben an Vertrauen. Und das meinen wir damit. Das verstehen wir unter Datenethik. Das verstehen wir unter guter Datenpraxis. Ja, das fehlt definitiv.

Steve Wright:

Aber ich bin zuversichtlich. Ich bin sehr zuversichtlich, Nick, dass ich hoffe, dass mehr davon kommen wird, da sich die Cybersicherheitsbranche vor etwa 10, 12 Jahren in dieser Position befand. Genau wie in meinen frühen Tagen, als ich bei PWC war, als wir gingen und mit Vorständen sprachen und man sie umwerfend sehen konnte und sie nicht wirklich interessiert waren, sind sie jetzt sehr interessiert. Und ich hoffe, dass dies auch mit dem Datenschutz und den Daten insgesamt passieren wird. Und ich denke, das fängt an zu passieren, aber ich würde gerne mehr davon sehen.

Nick James:

Stefan, danke dafür. Ich wollte mich etwas zuwenden, das Sie bei Privacy Culture letztes Jahr mit der ersten Mitarbeiterumfrage zur Datenschutzkultur gestartet haben. Ich habe mich gefragt, ob Sie einige der wichtigsten Ergebnisse mit uns teilen können.

Steve Wright:

Ja sicher. Danke, dass du das erwähnt hast, Nick. Das war eine wirklich spannende Arbeit. Wir haben ein Jahr zuvor mit der Pandemie begonnen, daher war das Timing nicht so toll, aber wir haben es geschafft, ein Dutzend verschiedener Organisationen aus verschiedenen Sektoren weltweit zusammenzubringen, die Tausende und Abertausende von Mitarbeitern in 54 Ländern vertreten. Wir haben die Umfrage abgeschlossen, ein Pilotprojekt für all diese verschiedenen Organisationen. Wir hatten also, wie gesagt, verschiedene Sektoren, verschiedene Sprachen zu bewältigen, und die Ergebnisse waren verblüffend. Und die gute Nachricht, nun, ich werde die Katze noch nicht aus dem Sack lassen, aber im folgenden Jahr steht das erste Jubiläum bevor, also werden wir die nächste Global Privacy Culture Survey 2022 in Kürze veröffentlichen.

Steve Wright:

Aber wenn wir über das letzte Jahr sprechen, ja, es gab drei oder vier, die wirklich stark durchkamen, und Sie werden von diesen nicht überrascht sein. An oberster Stelle stand das Risikomanagement. Was wir in unserer Umfrage unter all den Teilnehmern festgestellt haben, war, dass die Mitarbeiter keine Ahnung von Datenschutzrisiken und Datenschutzfolgenabschätzungen und insbesondere von eingebautem Datenschutz hatten oder sich nicht befähigt fühlten. Das ist also ganz entscheidend, weil das, wenn Sie so wollen, das Eindringen von Wasser überhaupt erst verhindert. Es war also nicht eingebettet, es wurde nicht operationalisiert, die Leute wurden nicht darin geschult. Sie kauften Werkzeuge, die taten, was sie versprochen hatten, aber es wurde einfach nicht gelandet. Und das ist es immer noch nicht, muss ich sagen.

 

Steve Wright:

And I think also, was around training and just the lack of it. And what was the biggest finding there was it was inconsistent. It was bland and boring and it was just literally one size fits all. And so people were just doing it as a compliance exercise. The other, which I’ve alluded to on the ESG question was around retention and deletion. So big problems around that naturally, because retention deletion is particularly hard when you’ve got legacy systems, some of which are unsupported, have come out of contract, but you’re still using them, or you’re holding onto that data in various different forms.

Steve Wright:

And I think the other one, which was less of an issue, but was certainly bubbling up, was around transparency. So in other words, again, going back to our rush to get ready for GDPR in 2018, there was a lot of privacy notices, privacy policies, a lot of cookie activity, but what wasn’t really translating down into the business, down into the organizations was this living and breathing of those privacy notices. Again, they weren’t sort of operationalized. They were almost pieces of paper that they stuck on the website and said, yeah, we take privacy really seriously. But actually, when it came to it, it wasn’t coming through. People didn’t feel empowered. People didn’t know where to go to find out information, data subject access requests were being lost between the cracks because their customer services teams hadn’t been trained or retrained and all these kind of issues. So yeah, generally it was just a fascinating survey. We’ve committed to doing that for the next 10 years. And so we’re just coming up into year two.

Nick James:

Excellent. Thank you, Steve. I have one final question. And this is from a business point of view, not a personal point of view, and I’m asking this to a lot of people, but the question is, what keeps you awake at night?

Steve Wright:

Well, I suppose, I mean, be it that I’m in business now, what keeps me awake at night, I suppose is, well, two things really, cashflow because that’s a problem we all suffer from. A lot of our clients, in fact, the majority of our clients are big global organizations, they take a decade to pay. So cashflow is a real challenge. What’s 60 days or 30 days for them is a long time for a small business.

Steve Wright:

But actually the other one, which really does concern me more so is more about sort of where we’re heading in terms of our society, not just the UK, but just globally. I’ve got young adults now, and there’s this big disjoint between, and I think it’s brought on by this almost self-mentality image and what you look like on your persona of your phone. And I feel that I worry that our kids have learnt or can’t identify with who they are and what they are as human beings. I mean, that’s a bit philosophical, I know, Nick, but that’s the thing that worries me now, that young people don’t really know who they are anymore, and that they’re all trying to be personas of something else.

Nick James:

Steve, fascinating. And I sort of get exactly what you’re saying on that last point. And I don’t think it’s just the youngsters-

Steve Wright:

Maybe not.

Nick James:

It’s everybody. Steve, thank you so much. Let’s put something in the diary to catch up and meet in real time quite soon.

Steve Wright:

Would love that. Thanks so much, Nick, and to the whole team for everything you do down there. It’s brilliant. And we really love working with you guys and coming to your events. So thank you for bringing this to the table.

Nick James:

Fantastic. Thanks, Steve. Cheers.