Säkra molntjänsterna nu – med 5 frågor
Den nya dataskyddslagen ställer hårda krav. Företag måste ta kontrollen över sin datahantering – också i externa molntjänster. Här är råden som kan rädda dig undan mörka moln och en alldeles egen it-skandal.
Håll koll på molnen. Det kan annars dra ihop sig till busväder i verksamheten när den nya dataskyddsförordningen (GDPR) träder i kraft. Organisationer som lagrar personuppgifter i molntjänster behöver säkra upp – för att slippa ett oväder som kan nå orkanstyrka.
Dataskyddsförordningen ersätter den nuvarande personuppgiftslagen den 25 maj 2018 och innehåller stora förändringar för hur personuppgifter får lagras och användas. Tidigare har organisationer kunnat hantera personliga data som sin egendom. Med GDPR blir privatpersoners rätt till sina egna uppgifter kraftigt förstärkta.
”Det verkligt nya med GDPR är de väldigt höga böter som kan utdömas om inte reglerna följs. Om jag sammanfattar varför du ska bry dig om GDPR, så är det helt enkelt att det kan bli dyrt om du inte gör det”, säger Johan Hübner, advokat och partner på Advokatfirman Delphi.
It-skandalen kring Transportstyrelsens upphandling av molntjänster och säkerhetsbristerna i Polisens outsourcing av persondatahantering har fått feta rubriker och satt ljuset på extern hantering av känslig data.
En viktig sak att ha kontroll över är var er data fysiskt befinner sig. Data som hanteras och lagras i molntjänster finns fysiskt i en eller flera datorhallar som är geografiskt utspridda. Redan idag är det en huvudregel att personuppgifter ska behandlas inom EU, exempelvis vid användning av molntjänster som kunddatabaser, backuper, e-handelslösningar och liknande.
Som ansvarig för en verksamhet som lagrar data om folk är du skyldig att veta var informationen lagras, i vilket syfte, att uppgifterna är korrekta samt varifrån de samlats in. På de punkterna är GDPR mycket strängare än den nuvarande personuppgiftslagen (PUL).
Om en molnleverantör har servrar i ett land utanför EU behövs särskilda åtgärder och avtal.
”Måste man lagra data utanför EU gäller att detta sker under uttryckligt samtycke och med avtal som tillförsäkrar den registrerade personen samma rättigheter i ett annat land som denne har inom EU”, säger Johan Hübner.
Den kommande dataskyddsförordningen reglerar även så kallade osorterade data, som till exempel e-post, excel-ark, presentationer, videor och andra format som kan innehålla personuppgifter. Det betyder bland annat att medarbetare som skapar egna register eller använder molntjänster på eget bevåg riskerar att sätta verksamheten på tunn is.
Om din organisation har avtal med leverantörer av fjärrlagringstjänster och hantering av data i molnet är det hög tid att revidera och uppdatera dem, ställa rätt frågor och se till att ni får de svar ni behöver.
5 viktiga frågor att ställa till din molntjänstleverantör
1. Hur förberedda är ni för GDPR?
Är leverantören certifierad? Om inte, kommer de att vara det i god tid för omställningen? Kräv bevis på certifieringen.
2. Var lagras och bearbetas informationen?
Om insamlande personuppgifter kan komma att lagras under tredje lands jurisdiktion (utanför EU) ska det framgå tydligt. I värsta fall kan det vara ett brott mot GDPR, exempelvis om privatpersoner inte gett sitt uttryckliga samtycke till lagring utanför EU.
3. Hur är det med transparensen?
GDPR har tuffa bestämmelser när det gäller faktasammanställning. Avtala att leverantören är skyldig att bidra med sina delar av dokumentationen.
4. Vilka säkerhetsrutiner har ni?
GDPR har hårda krav på it-säkerhet, inklusive teknisk förlust av data. Vid dataintrång eller informationsläckage ska tillsynsmyndigheten informeras inom 72 timmar. Förbinder sig leverantören att efterleva det? Hur ser rutinerna ut kring det?
5. Vad händer vid ett avtalsbrott?
Molntjänstavtalet bör inte vara utformat på ett sådant sätt att det är din organisation som ensidigt får ta smällen om personuppgifter hanteras i strid med GDPR:s regler.
Text: Hasse Nilsson
Det här är GDPR
EU:s Dataskyddsförordning, General Data Protection Regulation (GDPR), är den största förändringen inom it- och datahantering som genomförts i Europa på årtionden.
I korthet innebär GDPR att individer får mycket större makt över sina personuppgifter.
Omvänt begränsas företags och organisationers möjligheter att förfoga fritt över personuppgifter som samlats in och lagrats.
De som inte följer förordningen kan tilldömas kraftiga böter, upp till 20 miljoner euro.
Förordningen träder i full kraft den 25 maj 2018.
GDPR ersätter den svenska personuppgiftslagen, PUL (1998).
Den nya förordningen ersätter också EU:s dataskyddsdirektiv (1995).
Tillsynsmyndighet i Sverige är Datainspektionen.
Fortsätt läsa kostnadsfritt!
Vi behöver bara en minut…
Så roligt att du vill fortsätta läsa! Det får du strax göra, utan att betala något.
- Tillgång till våra låsta artiklar och webinar gratis!
Dina uppgifter delas aldrig med tredje part. Läs vår integritetspolicy här.