moln-2

Säkra molntjänsterna nu – med 5 frågor

Den nya dataskyddslagen ställer hårda krav. Företag måste ta kontrollen över sin datahantering – också i externa molntjänster. Här är råden som kan rädda dig undan mörka moln och en alldeles egen it-skandal.

Håll koll på molnen. Det kan annars dra ihop sig till busväder i verksamheten när den nya dataskyddsförordningen (GDPR) träder i kraft. Organisationer som lagrar personuppgifter i molntjänster behöver säkra upp – för att slippa ett oväder som kan nå orkanstyrka.

Dataskyddsförordningen ersätter den nuvarande personuppgiftslagen den 25 maj 2018 och innehåller stora förändringar för hur personuppgifter får lagras och användas. Tidigare har organisationer kunnat hantera personliga data som sin egendom. Med GDPR blir privatpersoners rätt till sina egna uppgifter kraftigt förstärkta.

”Det verkligt nya med GDPR är de väldigt höga böter som kan utdömas om inte reglerna följs. Om jag sammanfattar varför du ska bry dig om GDPR, så är det helt enkelt att det kan bli dyrt om du inte gör det”, säger Johan Hübner, advokat och partner på Advokatfirman Delphi.

It-skandalen kring Transportstyrelsens upphandling av molntjänster och säkerhetsbristerna i Polisens outsourcing av persondatahantering har fått feta rubriker och satt ljuset på extern hantering av känslig data.

En viktig sak att ha kontroll över är var er data fysiskt befinner sig. Data som hanteras och lagras i molntjänster finns fysiskt i en eller flera datorhallar som är geografiskt utspridda. Redan idag är det en huvudregel att personuppgifter ska behandlas inom EU, exempelvis vid användning av molntjänster som kunddatabaser, backuper, e-handelslösningar och liknande.

Som ansvarig för en verksamhet som lagrar data om folk är du skyldig att veta var informationen lagras, i vilket syfte, att uppgifterna är korrekta samt varifrån de samlats in. På de punkterna är GDPR mycket strängare än den nuvarande personuppgiftslagen (PUL).

Om en molnleverantör har servrar i ett land utanför EU behövs särskilda åtgärder och avtal.

”Måste man lagra data utanför EU gäller att detta sker under uttryckligt samtycke och med avtal som tillförsäkrar den registrerade personen samma rättigheter i ett annat land som denne har inom EU”, säger Johan Hübner.

Den kommande dataskyddsförordningen reglerar även så kallade osorterade data, som till exempel e-post, excel-ark, presentationer, videor och andra format som kan innehålla personuppgifter. Det betyder bland annat att medarbetare som skapar egna register eller använder molntjänster på eget bevåg riskerar att sätta verksamheten på tunn is.

Om din organisation har avtal med leverantörer av fjärrlagringstjänster och hantering av data i molnet är det hög tid att revidera och uppdatera dem, ställa rätt frågor och se till att ni får de svar ni behöver.

5 viktiga frågor att ställa till din molntjänstleverantör

1. Hur förberedda är ni för GDPR?

Är leverantören certifierad? Om inte, kommer de att vara det i god tid för omställningen? Kräv bevis på certifieringen.

2. Var lagras och bearbetas informationen?

Om insamlande personuppgifter kan komma att lagras under tredje lands jurisdiktion (utanför EU) ska det framgå tydligt. I värsta fall kan det vara ett brott mot GDPR, exempelvis om privatpersoner inte gett sitt uttryckliga samtycke till lagring utanför EU.

3. Hur är det med transparensen?

GDPR har tuffa bestämmelser när det gäller faktasammanställning. Avtala att leverantören är skyldig att bidra med sina delar av dokumentationen.

4. Vilka säkerhetsrutiner har ni?

GDPR har hårda krav på it-säkerhet, inklusive teknisk förlust av data. Vid dataintrång eller informationsläckage ska tillsynsmyndigheten informeras inom 72 timmar. Förbinder sig leverantören att efterleva det? Hur ser rutinerna ut kring det?

5. Vad händer vid ett avtalsbrott?

Molntjänstavtalet bör inte vara utformat på ett sådant sätt att det är din organisation som ensidigt får ta smällen om personuppgifter hanteras i strid med GDPR:s regler.

Text: Hasse Nilsson

Det här är GDPR

EU:s Dataskyddsförordning, General Data Protection Regulation (GDPR), är den största förändringen inom it- och datahantering som genomförts i Europa på årtionden.

I korthet innebär GDPR att individer får mycket större makt över sina personuppgifter.

Omvänt begränsas företags och organisationers möjligheter att förfoga fritt över personuppgifter som samlats in och lagrats.

De som inte följer förordningen kan tilldömas kraftiga böter, upp till 20 miljoner euro.

Förordningen träder i full kraft den 25 maj 2018.

GDPR ersätter den svenska personuppgiftslagen, PUL (1998).

Den nya förordningen ersätter också EU:s dataskyddsdirektiv (1995).

Tillsynsmyndighet i Sverige är Datainspektionen.

nyhetsbrev-9

Missa inget!

Chefs populära nyhetsbrev Ditt ledarskap och Din karriär samlar varje vecka det bästa från Chef.se.
  • Konkreta råd i ditt chefskap
  • Användbara metoder och verktyg
  • Relevanta erbjudanden

Relaterade artiklar

dataskydd
Verksamhetsutveckling

Testa dig själv: Är du redo för nya dataskyddsreglerna?

Är du redo för den största it-omställningen på 20 år? Här kan du enkelt testa hur det ser ut för din organisation.

Mia Malmenäs, Mapi
Annonssamarbete Chef + SBS Executive MBA

Så vinner arbetsgivaren på ditt kompetenslyft

Du lyfter din karriär med en ledarskapsutbildning i världsklass. Din arbetsgivare får tillgång till viktig ny kompetens. Mia Malmenäs ser en tydlig win-win med sin Executive MBA-utbildning på Stockholms universitet.
kontor-2
Arbetsmiljö

Så ser Apples nya miljardkontor ut

Drömmer du om en ny kontorsmiljö? Då kan Apple Park – teknikföretagets nya kontorsbyggnad i Kalifornien – fungera som inspiration. Men smakar det så kostar det.

musken
Karriär

Det kan du lära dig av Elon Musk

Han frilansar som rymdentreprenör för USA:s regering och har fått hela bilindustrin på tårna. Företagsledaren Elon Musk liknas vid en rockstjärna och är omvittnat knepig som chef. Här är några lärdomar att dra av hans ledarskap.
johan-4
Verksamhetsutveckling

Sveriges chefer: Vi är digitalt frustrerade!

Två av tre chefer är digitalt frustrerade, visar Chefs undersökning.
gdpr
Verksamhetsutveckling

”Hälften av företagen känner inte ens till GDPR”

Nu skärper EU tonen mot svenska företag. Höga bötesbelopp väntar för de som misslyckas med omställningen.
butterfly
Annonssamarbete Chef + Experis

Nya egenskaper skiljer ut Sveriges bästa chefer

Juryarbetet med att sålla fram landets bästa chefer till Chefgalan ger en unik möjlighet att trendspana på svenskt ledarskap. Tydligt är att det tuffa förändringstempot ställer nya krav. ”Finalisterna har tagit till sig nya egenskaper och applicerar dem i sitt ledarskap. Det skiljer ut dem från andra”, säger Helen Remnås på Experis, som varit med i hela processen.
dalig
Verksamhetsutveckling

Dålig organisation – en gigantisk hälsofara

Stress, stora personalgrupper, brist på stöd och knappa resurser. Chefer i offentlig sektor har det tufft. Ny forskning visar att dålig organisation skapar större problem än tidigare känt. Kvinnliga chefer är värst drabbade.

nyhetsbrev-9

Missa inget!

Chefs populära nyhetsbrev Ditt ledarskap och Din karriär samlar varje vecka det bästa från Chef.se.
  • Konkreta råd i ditt chefskap
  • Användbara metoder och verktyg
  • Relevanta erbjudanden