Att uppnå GDPR-efterlevnad i molnet
Inte helt utan mörka moln...

Under de senaste åren har många företag flyttat till molnet på grund av möjligheterna till kostnadsbesparingar och skalbarhet. Dock har den nya Allmänna Dataskyddsförordningen (GDPR) skapat ett nytt hinder för företag som tillhandahåller programvara som tjänst (SaaS)-, plattform som tjänst (PaaS)- eller infrastruktur som tjänst (IaaS)-applikationer i molnet och GDPR-kostnaderna är redan höga.

När ett företag använder en molnleverantör anses leverantören enligt GDPR-terminologi vara personuppgiftsbiträde och företaget anses vara personuppgiftsansvarig. Den personuppgiftsansvarige behåller ägandet av uppgifterna. Personuppgiftsbiträdet måste följa instruktionerna från den personuppgiftsansvarige avseende hur uppgifterna behandlas. I detta förhållande finns det en del unika utmaningar som företag bör tänka på.

Moln-specifika utmaningar för GDPR-efterlevnad

I allmänhet kräver GDPR-efterlevnad investeringar i teknik, personal och juridisk kompetens. Allt detta kan bli dyrt. Här är några andra unika utmaningar för GDPR i molnet: 

Genomförande av lagring av uppgifter, radering och flyttbarhetInnan man "bekräftar" flytten av informationen upp i molnet kan det vara bra att undersöka var informationen hamnar.

GDPR skyddar inte bara användarnas rätt att begära ut relevant information om sig själva utan också rätten att begära radering av uppgifter eller flyttning av dem till en annan registerförare. Att uppfylla dessa krav är komplicerat i en lokal miljö där företag har kontroll över lagringen. Molnlagring på flera platser gör lagring, radering, och flyttbarhet mer komplicerat. Företag och molnleverantörer måste samordna sig globalt för att uppfylla varje enskild begäran. 

Samordning av intrångsmeddelanden

Personuppgiftsansvariga måste meddela myndigheter och användare i fall av dataintrång inom 72 timmar, även om det sker intrång på molnleverantörens sidan så måste den informationen ges till myndigheterna och användarna så snabbt som möjligt. Avtalen mellan företag och molnleverantörer måste vara korrekta för att undvika förvirring avseende äganderätt till uppgifter. Det kommer att vara ett kontinuerligt problem för alla företag som använder molnet.

Bibehållandet av uppgiftsintegritet

Molnuppgifter delas ofta mellan olika regioner, länder och till och med kontinenter. Om uppgifterna finns utanför EU finnas andra lagar som gäller. Bland annat blir kraven på dig som Personuppgiftsansvarig högre. Dessutom tillåter molnleverantörerer att uppgifter flyttas från en plats till en annan eller låter uppgifter lagras på flera platser för snabbare åtkomst. Att bestämma vilka lagar som ska tillämpas avseende dataintegritet kan bli ett komplicerat datahanteringsproblem.

Konsolidering av molnarkitektur och inbyggd integritet

GDPR kräver inbyggd integritet vilket innebär att infrastrukturen och affärsmetoderna måste ha integritet proaktivt inbäddat i systemen. Dock har företagen inte direkt kontroll över molnarkitekturen. I en GDPR värld måste företagen regelbundet övervaka molnleverantörers system för att säkerställa att principerna för inbyggd integritet uppfylls.

Efterlevnad av säkerhetskrav

Företagen måste se till att deras molnleverantörer lever upp till GDPR:s säkerhetskrav. Olika myndigheter utvecklar certifieringar. Molnleverantörer kan använda dessa certifikat för att visa efterlevnad. Dock är det företagens ansvar att se till att de lagrar uppgifter med en molnleverantör som efterlever GD

Att utforma en efterlevnadsprocess för GDPR i molnet

För ett litet företag kan GDPR:s molnefterlevnad till en början verka överväldigande och man kan inte förneka att det innebär en hel del arbete men en steg-för-steg-strategi kan bidra till att göra uppgifterna mer hanterbara: 

  • Förbered: Börja med en helhetsbild av vilka av GDPR:s regler och förordningar somAtt upprätta en handlingsplan för att dela upp implementeringsprocessen i mer överblickbara delar är nästan nödvändigt. gäller för din specifika verksamhet. Bilda ett team som ska ägna alla sina resurser åt GDPR-uppgifter.
  • Granska: Teamet kan börja granska de olika databehandlingsförfarandena. I detta skede skapar du en mer detaljerad bild av var dina uppgifter finns. Företag underskattar ofta hur många molntjänster de använder. Granskningen kommer att ge dig en chans att få en mer realistisk uppfattning av alla uppgifter som är utspridda över olika molnapplikationer. 
  • Analyser: Ta granskningsuppgifterna och analysera dem för att komma underfull med dina applikationer, plattformar och processer. Du vill ta reda på var du kan optimera och hur mycket det kommer att kosta, samt identifiera problemområden. 
  • Skapa en handlingsplan: Det är dags att ta fram åtgärder att vidta för att göra infrastruktur- och processförändringar. Handlingsplanen kommer att hjälpa dig att hantera frågor systematiskt. Den bryter ner överväldigande uppgifter i mindre delar. Som registeransvarig måste du dirigera din molnleverantör eller registerförare till att tillhandahålla de tjänster du behöver. Dessutom ska du, om du upptäcker att din molnleverantören inte har vissa bestämmelser i avtalet, se till att du omförhandlar så att avtalet lever upp till Dataskyddsförordningen. 
  • Hantera: GDPR är en komplicerad lagstiftning som kommer att utvecklas. Du måste därför kontinuerligt övervaka och se till att du ändrar dina applikationer och system allteftersom nya krav införs.

Molnleverantörer är aktiva samarbetspartners

Företag kan inte erbjuda fullt kompatibla tjänster utan hjälp av molnleverantörerna. Så det är viktigt att främja goda relationer med dem. Som registerhållare av uppgifter kommer de att vara en aktiv partner på denna resa. Deras hjälp kan göra en enorm skillnad när det gäller tid och kostnad för att uppnå GDPR-efterlevnad.

Pierre Gustafsson
GDPR Coach, Arbore AB

Din lokala GDPR partner i Nordvästa Skåne!

Kontakta Arbore AB för hjälp med att komma igång!

Att uppnå GDPR-efterlevnad i molnet
Pierre Gustafsson 15 oktober, 2018
Dela detta inlägg
Our blogs
Arkiv
AWS utvidgar i de nordiska länderna