moln-2

Säkra molntjänsterna nu – med 5 frågor

Den nya dataskyddslagen ställer hårda krav. Företag måste ta kontrollen över sin datahantering – också i externa molntjänster. Här är råden som kan rädda dig undan mörka moln och en alldeles egen it-skandal.

Håll koll på molnen. Det kan annars dra ihop sig till busväder i verksamheten när den nya dataskyddsförordningen (GDPR) träder i kraft. Organisationer som lagrar personuppgifter i molntjänster behöver säkra upp – för att slippa ett oväder som kan nå orkanstyrka.

Dataskyddsförordningen ersätter den nuvarande personuppgiftslagen den 25 maj 2018 och innehåller stora förändringar för hur personuppgifter får lagras och användas. Tidigare har organisationer kunnat hantera personliga data som sin egendom. Med GDPR blir privatpersoners rätt till sina egna uppgifter kraftigt förstärkta.

”Det verkligt nya med GDPR är de väldigt höga böter som kan utdömas om inte reglerna följs. Om jag sammanfattar varför du ska bry dig om GDPR, så är det helt enkelt att det kan bli dyrt om du inte gör det”, säger Johan Hübner, advokat och partner på Advokatfirman Delphi.

Chef Seminarium: Lär dig mer om GDPR – en halvdag på Chefs seminarium i Stockholm ger dig koll

It-skandalen kring Transportstyrelsens upphandling av molntjänster och säkerhetsbristerna i Polisens outsourcing av persondatahantering har fått feta rubriker och satt ljuset på extern hantering av känslig data.

En viktig sak att ha kontroll över är var er data fysiskt befinner sig. Data som hanteras och lagras i molntjänster finns fysiskt i en eller flera datorhallar som är geografiskt utspridda. Redan idag är det en huvudregel att personuppgifter ska behandlas inom EU, exempelvis vid användning av molntjänster som kunddatabaser, backuper, e-handelslösningar och liknande.

Som ansvarig för en verksamhet som lagrar data om folk är du skyldig att veta var informationen lagras, i vilket syfte, att uppgifterna är korrekta samt varifrån de samlats in. På de punkterna är GDPR mycket strängare än den nuvarande personuppgiftslagen (PUL).

Om en molnleverantör har servrar i ett land utanför EU behövs särskilda åtgärder och avtal.

”Måste man lagra data utanför EU gäller att detta sker under uttryckligt samtycke och med avtal som tillförsäkrar den registrerade personen samma rättigheter i ett annat land som denne har inom EU”, säger Johan Hübner.

Läs också: Checklista: Gör dig redo för nya dataskyddsreglerna

Den kommande dataskyddsförordningen reglerar även så kallade osorterade data, som till exempel e-post, excel-ark, presentationer, videor och andra format som kan innehålla personuppgifter. Det betyder bland annat att medarbetare som skapar egna register eller använder molntjänster på eget bevåg riskerar att sätta verksamheten på tunn is.

Om din organisation har avtal med leverantörer av fjärrlagringstjänster och hantering av data i molnet är det hög tid att revidera och uppdatera dem, ställa rätt frågor och se till att ni får de svar ni behöver.

Läs också: Sen i starten? Så hinner du ikapp med GDPR

5 viktiga frågor att ställa till din molntjänstleverantör

1. Hur förberedda är ni för GDPR?

Är leverantören certifierad? Om inte, kommer de att vara det i god tid för omställningen? Kräv bevis på certifieringen.

2. Var lagras och bearbetas informationen?

Om insamlande personuppgifter kan komma att lagras under tredje lands jurisdiktion (utanför EU) ska det framgå tydligt. I värsta fall kan det vara ett brott mot GDPR, exempelvis om privatpersoner inte gett sitt uttryckliga samtycke till lagring utanför EU.

3. Hur är det med transparensen?

GDPR har tuffa bestämmelser när det gäller faktasammanställning. Avtala att leverantören är skyldig att bidra med sina delar av dokumentationen.

4. Vilka säkerhetsrutiner har ni?

GDPR har hårda krav på it-säkerhet, inklusive teknisk förlust av data. Vid dataintrång eller informationsläckage ska tillsynsmyndigheten informeras inom 72 timmar. Förbinder sig leverantören att efterleva det? Hur ser rutinerna ut kring det?

5. Vad händer vid ett avtalsbrott?

Molntjänstavtalet bör inte vara utformat på ett sådant sätt att det är din organisation som ensidigt får ta smällen om personuppgifter hanteras i strid med GDPR:s regler.

Missa inte: Få full koll på nya dataskyddsförordningen på Chefs seminarium

Text: Hasse Nilsson

Det här är GDPR

EU:s Dataskyddsförordning, General Data Protection Regulation (GDPR), är den största förändringen inom it- och datahantering som genomförts i Europa på årtionden.

I korthet innebär GDPR att individer får mycket större makt över sina personuppgifter.

Omvänt begränsas företags och organisationers möjligheter att förfoga fritt över personuppgifter som samlats in och lagrats.

De som inte följer förordningen kan tilldömas kraftiga böter, upp till 20 miljoner euro.

Förordningen träder i full kraft den 25 maj 2018.

GDPR ersätter den svenska personuppgiftslagen, PUL (1998).

Den nya förordningen ersätter också EU:s dataskyddsdirektiv (1995).

Tillsynsmyndighet i Sverige är Datainspektionen.

nyhetsbrev-9

Missa inget!

Chefs populära nyhetsbrev Ditt ledarskap och Din karriär samlar varje vecka det bästa från Chef.se.
  • Konkreta råd i ditt chefskap
  • Användbara metoder och verktyg
  • Relevanta erbjudanden

Relaterade artiklar

apollo
Digital HR

Bommade igen sista butiken – så blev Apollo digitala

Digitaliseringen har inneburit att de traditionella charterbolagen befinner sig på en helt ny marknad. Apollo är mitte uppe i en anpassning till den nya verkligheten – och djupt involverade i det arbetet är HR-avdelningen. 
Thomas von Koch, vd EQT.
Annonssamarbete Chef + Vinnova

EQTs vd: ”Kulturförändring är det svåra”

”Den stora utmaningen nu, det man totalt underskattar, är företagskultur och ledningskultur”, menar Thomas von Koch, vd för EQT.

tanketid
Hälsa

Här får medarbetarna 4 timmar – enbart till reflektion

Ledningsgruppen på Youcall avsatte fyra timmar i veckan åt reflektion. Redan efter tre veckor gav det resultat. De blev mer harmoniska och fick lika mycket eller mer gjort. Nu släpper Tony Nilsson loss hela företagets tankekraft.
vinst
Mångfald

De gick från 2 kvinnliga chefer – till 55 procent

Stamnät, elförsörjning, infrastruktur – av tradition en mansdominerad sektor. Ändå har Svenska Kraftnät lyckats närma sig en jämn köns­fördelning.

gratismat
Arbetsmiljö

Gratis mat på jobbet – en stressfälla för personalen

Fria måltider på jobbet. En dröm för många – men nu varnar stressexperter om att kontorskulturen kan drabba medarbetarnas och chefernas hälsa.
forgifta
Arbetsmiljö

5 saker som förgiftar stämningen på jobbet

Det är låg stämning bland medarbetarna – utan att du som chef förstår varför. Då kan du behöva kolla upp om det finns faktorer i er jobbkultur som förgiftar miljön.
domstol2
Annonssamarbete Chef + CSN

Dom i USA får fler svenskar att betala sina studielån

En fällande dom i Kalifornien har banat vägen. CSN får nu allt fler svenskar i USA att betala på sina studieskulder. ”Nu vet man att CSN vinner om vi går till domstol”, säger verksjuristen Helena Fällman.
aktivitet
Personlig effektivitet

4 punkter: Det här krävs för att få produktiva medarbetare

Vill du ha produktiva medarbetare? Då finns det fyra punkter som är extra effektiva om ni vill testa aktivitetsbaserade kontor, visar en svensk studie.
nyhetsbrev-9

Missa inget!

Chefs populära nyhetsbrev Ditt ledarskap och Din karriär samlar varje vecka det bästa från Chef.se.
  • Konkreta råd i ditt chefskap
  • Användbara metoder och verktyg
  • Relevanta erbjudanden