Brauchst du Zugriff auf unsere Systeme oder Daten?
Nein. Für Adoption und Enablement brauche ich keine Admin-Rechte, keinen Tenant-Zugang und keinen Zugriff auf eure produktiven Systeme oder sensiblen Daten. Ich arbeite mit euren Menschen in Schulungen, Workshops und Gesprächen. Falls für eine Aufgabe ausnahmsweise ein begrenzter Zugang nötig wäre, legt ihr Umfang und Dauer fest, und das läuft über eure IT nach euren Regeln.
Unterschreibst du eine Vertraulichkeitsvereinbarung (NDA)?
Ja. Ich unterzeichne eure Vertraulichkeitsvereinbarung und behandle alles vertraulich, was mir im Rahmen der Zusammenarbeit begegnet. Das ist für mich Standard, kein Sonderfall.
Was gibst du in Copilot ein, und was bringst du unseren Leuten bei?
Ich gebe keine vertraulichen Daten von euch in Copilot ein. In den Schulungen ist genau das ein Kernthema: Ich vermittle euren Mitarbeitenden, welche Anwendungsfälle in Ordnung sind und was man nicht in Copilot eingibt. So ergänzt der sichere Umgang im Alltag die technischen Vorgaben eurer IT.
Bist du ISO 27001 oder SOC 2 zertifiziert?
Nein, und ich behaupte das auch nicht. Ich bin ein einzelner Berater für Adoption und Enablement, keine Plattform, die eure Daten verarbeitet. Mein Sicherheitsargument liegt nicht in Zertifikaten, sondern darin, dass ich strukturell fast keinen Zugriff brauche und damit kaum Risiko schaffe.
Bist du Rechts- oder Compliance-Berater?
Nein. Ich bin kein Rechts- oder Compliance-Berater und gebe keine Konformitäts-Garantien, weder DSGVO noch FINMA. Ich hole keine regulatorischen Vorabgenehmigungen ein. Ich kenne den regulierten Kontext aus vier Jahren bei einer Schweizer Grossbank und arbeite innerhalb eurer bestehenden Vorgaben, aber die rechtliche und regulatorische Bewertung bleibt bei euren Fach- und Rechtsstellen.
Wer verantwortet die technische Absicherung wie Berechtigungen, Purview oder DLP?
Das bleibt vollständig bei eurer IT und Security. Berechtigungen, Purview, DLP, Datenresidenz und Admin-Settings setze ich nicht um. Ich kenne die Themen, fordere sie als Voraussetzung vor einem Rollout ein, etwa gegen Oversharing, und respektiere die klare Grenze zwischen meiner Adoptions-Arbeit und eurer technischen Governance.