moln-2

Säkra molntjänsterna nu – med 5 frågor

Den nya dataskyddslagen ställer hårda krav. Företag måste ta kontrollen över sin datahantering – också i externa molntjänster. Här är råden som kan rädda dig undan mörka moln och en alldeles egen it-skandal.

Håll koll på molnen. Det kan annars dra ihop sig till busväder i verksamheten när den nya dataskyddsförordningen (GDPR) träder i kraft. Organisationer som lagrar personuppgifter i molntjänster behöver säkra upp – för att slippa ett oväder som kan nå orkanstyrka.

nyhetsbrev-9

Missa inget!

Chefs populära nyhetsbrev Ditt ledarskap och Din karriär samlar varje vecka det bästa från Chef.se.
  • Konkreta råd i ditt chefskap
  • Användbara metoder och verktyg
  • Relevanta erbjudanden

Dataskyddsförordningen ersätter den nuvarande personuppgiftslagen den 25 maj 2018 och innehåller stora förändringar för hur personuppgifter får lagras och användas. Tidigare har organisationer kunnat hantera personliga data som sin egendom. Med GDPR blir privatpersoners rätt till sina egna uppgifter kraftigt förstärkta.

”Det verkligt nya med GDPR är de väldigt höga böter som kan utdömas om inte reglerna följs. Om jag sammanfattar varför du ska bry dig om GDPR, så är det helt enkelt att det kan bli dyrt om du inte gör det”, säger Johan Hübner, advokat och partner på Advokatfirman Delphi.

It-skandalen kring Transportstyrelsens upphandling av molntjänster och säkerhetsbristerna i Polisens outsourcing av persondatahantering har fått feta rubriker och satt ljuset på extern hantering av känslig data.

En viktig sak att ha kontroll över är var er data fysiskt befinner sig. Data som hanteras och lagras i molntjänster finns fysiskt i en eller flera datorhallar som är geografiskt utspridda. Redan idag är det en huvudregel att personuppgifter ska behandlas inom EU, exempelvis vid användning av molntjänster som kunddatabaser, backuper, e-handelslösningar och liknande.

Som ansvarig för en verksamhet som lagrar data om folk är du skyldig att veta var informationen lagras, i vilket syfte, att uppgifterna är korrekta samt varifrån de samlats in. På de punkterna är GDPR mycket strängare än den nuvarande personuppgiftslagen (PUL).

Om en molnleverantör har servrar i ett land utanför EU behövs särskilda åtgärder och avtal.

”Måste man lagra data utanför EU gäller att detta sker under uttryckligt samtycke och med avtal som tillförsäkrar den registrerade personen samma rättigheter i ett annat land som denne har inom EU”, säger Johan Hübner.

Den kommande dataskyddsförordningen reglerar även så kallade osorterade data, som till exempel e-post, excel-ark, presentationer, videor och andra format som kan innehålla personuppgifter. Det betyder bland annat att medarbetare som skapar egna register eller använder molntjänster på eget bevåg riskerar att sätta verksamheten på tunn is.

Om din organisation har avtal med leverantörer av fjärrlagringstjänster och hantering av data i molnet är det hög tid att revidera och uppdatera dem, ställa rätt frågor och se till att ni får de svar ni behöver.

5 viktiga frågor att ställa till din molntjänstleverantör

1. Hur förberedda är ni för GDPR?

Är leverantören certifierad? Om inte, kommer de att vara det i god tid för omställningen? Kräv bevis på certifieringen.

2. Var lagras och bearbetas informationen?

Om insamlande personuppgifter kan komma att lagras under tredje lands jurisdiktion (utanför EU) ska det framgå tydligt. I värsta fall kan det vara ett brott mot GDPR, exempelvis om privatpersoner inte gett sitt uttryckliga samtycke till lagring utanför EU.

3. Hur är det med transparensen?

GDPR har tuffa bestämmelser när det gäller faktasammanställning. Avtala att leverantören är skyldig att bidra med sina delar av dokumentationen.

4. Vilka säkerhetsrutiner har ni?

GDPR har hårda krav på it-säkerhet, inklusive teknisk förlust av data. Vid dataintrång eller informationsläckage ska tillsynsmyndigheten informeras inom 72 timmar. Förbinder sig leverantören att efterleva det? Hur ser rutinerna ut kring det?

5. Vad händer vid ett avtalsbrott?

Molntjänstavtalet bör inte vara utformat på ett sådant sätt att det är din organisation som ensidigt får ta smällen om personuppgifter hanteras i strid med GDPR:s regler.

Text: Hasse Nilsson

Det här är GDPR

EU:s Dataskyddsförordning, General Data Protection Regulation (GDPR), är den största förändringen inom it- och datahantering som genomförts i Europa på årtionden.

I korthet innebär GDPR att individer får mycket större makt över sina personuppgifter.

Omvänt begränsas företags och organisationers möjligheter att förfoga fritt över personuppgifter som samlats in och lagrats.

De som inte följer förordningen kan tilldömas kraftiga böter, upp till 20 miljoner euro.

Förordningen träder i full kraft den 25 maj 2018.

GDPR ersätter den svenska personuppgiftslagen, PUL (1998).

Den nya förordningen ersätter också EU:s dataskyddsdirektiv (1995).

Tillsynsmyndighet i Sverige är Datainspektionen.

Relaterade artiklar

agilt
Motivation

Agilt på 4 minuter – Chef förklarar

Allt fler talar om agila arbetssätt som en del av vägen till framgång i digitaliseringstider. Men vad är egentligen agilt och hur jobbar du enligt metoden? Här är tips för att lyckas!
robot_manniska
Annonssamarbete Chef + Företagsuniversitetet

Säg hej till ditt nya lärande

Bli din egen rektor. Fånga osynlig kunskap. Ledare som landar rätt i det nya lärandet har allt att vinna. ”Det här är en karriärdefinierande utmaning för chefer”, menar Daniel Kjellsson, Företagsuniversitetets framtidsstrateg.
lego-2
Verksamhetsutveckling

Sex principer som gjorde Lego störst i världen

Lego var störst i världen, när allt plötsligt vände. I början av 2000-talet stod leksaksföretaget vid ruinens brant. Men genom att gå tillbaka till kärnvärdena – grundaren Ole Kirk Christiansens visioner – lyckades Lego hitta rätt väg.
dataskydd
Verksamhetsutveckling

12 steg för att klara nya datareglerna

Är du redo för den största it-omställningen på 20 år?

sssss
Verksamhetsutveckling

3 fördelar: Därför ska du jobba mer agilt

Snabbfotat, flexibelt och framtidens ledarskap. Så beskrivs agilt ledarskap av många. Men är du osäker på en omställning kommer här 3 tydliga fördelar med att förändra din organisation.

annabayer_ica_2
Beslutsfattande

”Budgeten ger bara en illusion av kontroll”

Är det möjligt att leda mer framgångsrikt, genom att slopa den traditionella budgeten? Ja, menar Anna Bayer, planerings- och analyschef på Ica-gruppen. Hos dem har det sparat både tid och pengar.
test2-4
Annonssamarbete Chef + Optapad

5 saker smarta chefer vet om ergonomi

Få chefer är utbildade i ergonomi. Ändå är det ofta där ansvaret för inköp av ergonomiska produkter landar. Vilse i djungeln av datormöss och specialhjälpmedel? Här är råden som hjälper dig välja rätt.
nyatrel
Verksamhetsutveckling

Sen i starten? Så hinner du ikapp med nya reglerna

Nedräkningen har börjat. Många är i full gång med anpassningar till EU:s nya hårdare dataskyddsregler. Andra har inte ens börjat. Oavsett vilket – här är juristens viktigaste råd.

nyhetsbrev-9

Missa inget!

Chefs populära nyhetsbrev Ditt ledarskap och Din karriär samlar varje vecka det bästa från Chef.se.
  • Konkreta råd i ditt chefskap
  • Användbara metoder och verktyg
  • Relevanta erbjudanden