Det bästa med standarder är att det finns så många av dem. Det är ett gammalt skämt i it-branschen som nu verkar kunna appliceras även på så kallade ”uppförandekoder” (code of conduct).

Mer specifikt handlar det om uppförandekoder för molnleverantörer i Europa. På ena sidan av en skiljelinje finns Amazon med organisationen Cispe (Cloud Infrastructure Services Providers in Europé). På andra sidan finns IBM med C-SIG (Cloud Select Industry Group).

De här två organisationerna har tre saker gemensamt. För det första är båda i färd med att lansera uppförandekoder för molnleverantörer som rör införandet av GDPR (EUs dataskyddsförordning). För det andra inbegriper ingen av uppförandekoderna fastställda bötesbelopp för molnleverantörer som inte uppfyller dem. I praktiken är de mer att se som riktlinjer.

Enkelt uttryckt ska uppförandekoderna vara ramverk för hur molnleverantörerna ska hantera data på ett sätt som gör det möjligt för deras kunder att uppfylla GDPR. Ett konkret exempel kan vara att en molnleverantör ska kunna garantera en kund att data hanteras inom EU. Ett annat att ge garantier om att kunders data inte ska återanvändas i andra sammanhang än de avsedda.

Den tredje saken som de båda organisationerna har gemensamt är att man verkar tycka att den andra organisationens uppförandekod är tämligen värdelös.

Läs också: Företagen har börjat förbereda sig för GDPR. Fyra cio:er berättar hur

C-SIGs främsta argument framförs här av Johan Westman, molnchef på IBM i Sverige:

– C-SIGs uppförandekod har tagits fram på uppdrag av EU-kommisionen så den har full uppbackning. Arbetet har skett helt öppet under fyra år, vilket kan jämföras med ett halvår för Cispe i en stängd process. Om företag ska våga lita på en uppförandekod måste det finnas tillförlitlighet och det har C-SIG.

Darren Mowry, Nordenchef på Amazon Web Services, har följande toppargument för Cispes räkning:

– Vi behöver en separat uppförandekod för infrastrukturtjänster i molnet eftersom alla molntjänster inte är likadana. Därför kan man inte göra exakt samma dataskyddsöverväganden för alla typer av molntjänster.

ibm aws
Johan Westman, molnchef på IBM i Sverige och Darren Mowry, Nordenchef på Amazon Web Services.

I korthet: C-SIGs uppförandekod påstås vara mer omfattande och bättre förankrad i lagtexterna (eller åtminstone hos organisationen bakom lagtexterna), medan Cispes uppförandekod påstås vara bättre anpassad till infrastrukturtjänster i molnet.

Så till den allra viktigaste frågan: Vad spelar det här för roll för molnkunder i Sverige?

Till att börja med verkar det som att de som köper andra molntjänster än infrastrukturtjänster borde satsa på att leverantörerna certifierar sig enligt C-SIG. Men så enkelt är det tyvärr inte. Dels så kan gränserna mellan olika tjänstetyper (infrastruktur, plattform, applikationer, etcetera) vara högst flytande, dels lär de flesta företag köpa olika typer av tjänster från flera molnleverantörer och de vill säkert undvika att hålla reda på flera olika certifieringar, vilket medför extra arbete och extra kostnader.

Vi är tillbaka där vi började, vid frågan om vilken uppförandekod som är bäst.

Man kanske kan satsa på att alla rena infrastrukturtjänster ska följa båda uppförandekoderna? Nja. För det första är det möjligt att det finns motsägelsefulla anvisningar i de båda uppförandekoderna. Och för det andra, återigen, så vill de flesta säkert undvika att hålla reda på skrivelser i flera uppförandekoder.

Läs också: Ny organisation ska ge garantier för GDPR i molnet – Amazon är med

Vi är ännu en gång tillbaka till frågan om vilken uppförandekod som är bäst, vilket inte går att veta i dag, även om man kan ha föraningar om det.

Vi kan hoppas på två saker. För det första att de båda organisationerna harmoniserar sina ansträngningar och tar fram en gemensam uppförandekod. Lycka till med det.

För det andra, alternativt, att alla leverantörer, kanske till och med IBM och Amazon, certifierar sig enligt båda. Lycka till med det också.

Det enda man kan konstatera i dag är att det är positivt att ledande molnleverantörer anstränger sig att göra det enklare för kunder att följa GDPR när det införs 25 maj 2018.