Tylko 1%. Ale 1% z czego?

Tylko 1%. Ale 1% z czego?

To samo zdarzenie, ten sam 1% szans, w dwóch firmach kończy się inaczej. W jednej jest akceptowalne. W drugiej katastrofalne. Cała różnica kryje się w jednym słowie: skala.

1% to bardzo mało. Albo bardzo dużo.

Prawnicy i compliance nie bez powodu mówią "to zależy" i czasem wyglądają na paranoików. Nie dlatego że uwielbiają komplikować rzeczy. Dlatego że widzą coś czego intuicja nie obejmuje – efekt skali.

To samo prawdopodobieństwo, to samo zdarzenie, ten sam błąd ludzki. Zupełnie inny świat ryzyka w zależności od tego ile razy dziennie się to zdarza.

Konkretny przykład: pomyłka mailowa

Weźmy coś co każdy zna z własnego doświadczenia.

Załóżmy że jest 1% szans na błąd przy każdej wysyłce maila. Zły załącznik. Zły adresat z autouzupełniania. DW zamiast UDW przy mailingu. To są pomyłki które zdarzają się każdemu i które statystycznie da się oszacować.

Wysyłasz 10 maili dziennie?

Realnie śpisz spokojnie. Statystycznie taki błąd zdarzy Ci się raz na kilka miesięcy. W skali roku może dwa, trzy incydenty. Każdy obsługiwany indywidualnie. Każdy ma czas żeby się nim porządnie zająć.

Wysyłasz 10 000 maili dziennie?

To samo 1% oznacza około stu pomyłek. Dziennie.

Nie "może się zdarzy." Nie "warto być ostrożnym." Po prostu się zdarza – codziennie, wielokrotnie, z matematyczną pewnością wynikającą z prawa wielkich liczb.

Ten sam procent. Ten sam typ błędu. Zupełnie inny świat operacyjny.

Dlaczego intuicja zawodzi przy skali

Nasz mózg ewolucyjnie nie jest przystosowany do myślenia o dużych liczbach. Gdy ktoś mówi "1% to bardzo mało" – intuicja podpowiada że to faktycznie mało. Bo wyobrażamy sobie pojedyncze zdarzenie z 1% prawdopodobieństwem.

Przy 100 powtórzeniach 1% to nadal mało.

Przy 10 000 powtórzeniach 1% to już ekstremalnie dużo.

Przy milionie powtórzeń 1% to katastrofa biznesowa.

Procent jest ten sam. Wartość bezwzględna rośnie liniowo z liczbą powtórzeń. A liczba powtórzeń w nowoczesnych procesach biznesowych potrafi być astronomiczna.

To dlatego compliance manager w dużej firmie nie reaguje na słowa "prawdopodobieństwo jest minimalne." Wie że nawet minimalne prawdopodobieństwo razy ogromna skala daje stałą obecność incydentów.

Kara nie skaluje się z Twoją ostrożnością

To jest sedno problemu.

UODO nie powie "rozumiemy, przy waszym wolumenie sto wpadek dziennie to świetny wynik." Organy nadzorcze nie oceniają procentów. Oceniają konkretne incydenty.

Nikt nie poklepie Cię po plecach za niski procent naruszeń. Liczy się to jedno naruszenie które trafiło na złą osobę – kogoś kto poskarży się do UODO, kogoś kto jest dziennikarzem, kogoś kto jest publiczną postacią, kogoś kto akurat tego dnia miał gorszy nastrój.

W małej skali to "jedno na złą osobę" prawie nigdy się nie zdarza – bo całkowita liczba zdarzeń jest zbyt mała żeby trafić w ekstremum statystyczne.

W dużej skali to "jedno na złą osobę" zdarza się regularnie. Bo nawet bardzo rzadkie scenariusze – złośliwy klient, klient-celebryta, klient-prawnik specjalizujący się w RODO – pojawiają się statystycznie pewnie gdy próbka jest wystarczająco duża.

To nie jest tylko o mailach. I nie tylko o RODO.

Efekt skali jest zabójczy zawsze gdy procesy są powtarzalne masowo.

1% awarii produktu. Mała firma – sporadyczne reklamacje. Duża – problem jakościowy który ląduje na pierwszych stronach gazet.

Jeden grosz różnicy w zaokrągleniach. Mała firma – kosmetyczny błąd księgowy. Duża sieć handlowa – setki zł straty.

Jedna sekunda opóźnienia na linii produkcyjnej. Mała manufaktura – nikt nie zauważy. Fabryka produkująca milion sztuk miesięcznie – setki godzin straconej produkcji w skali roku.

0,01% niezgodności w procesie audytu. Mały bank – pojedyncze przypadki do wyjaśnienia. Bank obsługujący miliony transakcji – stałe ryzyko regulacyjne.

W małej skali takie liczby to szum. W dużej skali to Twój największy problem operacyjny.

Jak compliance manager myśli inaczej niż przedsiębiorca

Tu jest pęknięcie poznawcze które warto zrozumieć.

Przedsiębiorca myśli o ryzyku w kategoriach pojedynczego zdarzenia. "Jakie jest prawdopodobieństwo że coś pójdzie nie tak?" Jeśli odpowiedź brzmi "1%" – uznaje to za akceptowalne.

Compliance manager myśli o ryzyku w kategoriach częstotliwości w określonej skali. "Ile razy w roku to się stanie przy naszym wolumenie?" Jeśli odpowiedź brzmi "sto razy" – uznaje to za problem niezależnie od tego że procent wydaje się niski.

Te dwa sposoby myślenia często prowadzą do różnych wniosków o tej samej sytuacji. Nie dlatego że któryś z nich jest błędny. Dlatego że odpowiadają na różne pytania.

Przedsiębiorca pyta "czy warto się tym przejmować w przypadku jednego klienta." Compliance manager pyta "ile razy w roku to się stanie i jakie będą konsekwencje gdy trafimy na trudny przypadek."

Obie perspektywy są potrzebne. Problem zaczyna się gdy firma podejmuje decyzje wyłącznie na podstawie pierwszej.

Co z tego wynika praktycznie

Dwa wnioski które warto zinternalizować.

Pierwszy: ocena ryzyka w RODO musi uwzględniać skalę.

DPIA która szacuje że "prawdopodobieństwo naruszenia jest niskie" bez podania konkretnej skali procesu – jest niekompletna. Niskie prawdopodobieństwo w skali tysiąca operacji to inne ryzyko niż niskie prawdopodobieństwo w skali miliona operacji.

Każda analiza ryzyka powinna zawierać dwa elementy. Prawdopodobieństwo zdarzenia w pojedynczej operacji. Częstotliwość zdarzeń w skali rocznej przy aktualnym wolumenie.

Drugie jest często ważniejsze niż pierwsze.

Drugi: środki zaradcze muszą być proporcjonalne do skali.

Mała firma z 10 mailami dziennie nie potrzebuje systemu DLP wartego setki tysięcy złotych. Polityka i podstawowa uważność wystarczają.

Duża firma z 10 000 maili dziennie potrzebuje technicznych zabezpieczeń. Bo intuicja i polityka nie skalują się – a błąd ludzki przy tej skali skali się idealnie.

Wybór środków zaradczych w oparciu o procent zdarzeń bez uwzględnienia skali wolumenu prowadzi do dwóch typów błędów. Albo niedoinwestowania bezpieczeństwa gdy skala wymaga znacznie więcej. Albo przeinwestowania gdy skala jest mała i wystarczają proste środki.

Pytanie do siebie

Następnym razem gdy ktoś powie Ci "to tylko 1% przypadków" – zadaj sobie jedno pytanie.

1% z ilu operacji rocznie?

Odpowiedź na to pytanie zmienia kompletnie ocenę całej sytuacji.

Bo 1% z 1000 to 10 incydentów rocznie. Można się tym zająć.

A 1% z miliona to 10 000 incydentów rocznie. To nie jest już incydent. To jest stały element Twojej działalności którym musisz zarządzać systemowo.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.