Skip to main content

GDPR for cloud-serviceudbydere - en oversigt

Cloud-platforme er blevet et stadig vigtigere værktøj for moderne virksomheder, og det er let at se hvorfor - 85 % af amerikanske virksomhedsdata var i 2020 lagret i skyen, og det offentlige cloud-marked forventes at nå 679 mia. dollars i 2025 (Statista, CRN).

Men i takt med at virksomhederne i stadig større antal foretager overgangen til skyen, er spørgsmålet om sikkerhed for dataopbevaring i skyen blevet vigtigere - især i lyset af de strenge GDPR-krav, der trådte i kraft i 2018.

Nogle virksomheder er bekymrede for, at de åbner sig op for bøder for manglende overholdelse af GDPR ved at bruge en cloud-udbyder til at lagre data for dem.

Og selv om dette er forståeligt, da der er tale om en tredjepart, er der ingen grund til, at data, der opbevares og administreres, nødvendigvis skulle være mindre sikre.

Hvad er skyen?

Cloud er et netværk af servere, der er designet til at lagre store mængder data.

Virksomheder kan bruge denne hardware til at lagre deres egne data, som de har adgang til via internettet.

Populære eksempler er Dropbox, Google Cloud og Amazon Web Services.

Overordnet set kan cloud-software kategoriseres i tre typer:

  1. Offentlig - en internetbaseret cloud-tjeneste, der leveres til flere organisationer, enten gratis eller med et abonnement, der betales pr. brug
  2. Privat - en intern cloud-tjeneste dedikeret til en enkelt virksomhed
  3. Hybrid - en blanding af offentlig og privat cloud

De opdeles ofte også på en anden måde:

  • Infrastructure-as-a-Service (IaaS) - en virksomhed betaler for at få adgang til en cloud-udbyders computer- og lagerressourcer
  • Software-as-a-Service (SaaS) - en virksomhed betaler for at få adgang til software on-demand via internettet.
  • Platform-as-a-Service (PaaS) - en tjeneste med et udviklings- og implementeringsmiljø, som virksomheder kan bruge til at bygge applikationer i en browser

Fordele ved skyen for virksomheder

Cloud storage kan have store fordele for virksomheder til en begrænset pris: Det reducerer datasikkerhed og administrationsomkostninger, forbedrer kommunikationen og katalyserer bedre teamwork.

Virksomhederne drager også fordel af øget sikkerhed, mindre nedetid på grund af it-infrastrukturproblemer og fremragende skalerbarhed, efterhånden som de vokser.

Samlet set giver cloud-software virksomheder den ekstra fleksibilitet, der kan give dem en afgørende konkurrencefordel:

  • 84 % rapporterer om operationelle forbedringer inden for de første måneder efter indførelsen (Multisoft)
  • Små og mellemstore virksomheder finder det 40 % mere omkostningseffektivt at anvende cloud-platforme fra tredjeparter end at opretholde et internt alternativ (Multisoft)
  • 94 % af virksomhederne rapporterer om væsentlige forbedringer af online-sikkerheden efter at have migreret data til skyen (Salesforce).

Hvordan er cloud-software blevet påvirket af GDPR?

Afgørende er det, at 91 % af virksomhederne mener, at cloud storage-platforme har været en stor hjælp i deres arbejde med at overholde myndighedskrav som GDPR (Salesforce).

De er længe blevet designet med sikkerhed i fokus og anvender avanceret kryptering ved overførsel af data - hvilket betyder, at ingen uautoriseret bruger kan få adgang til private oplysninger.

Når det er sagt, har GDPR permanent ændret den måde, hvorpå personlige data kan opbevares og behandles i skyen, og EDPS - EU's vagthund for beskyttelse af privatlivets fred - er ved at undersøge, om Amazons AWS og Microsofts Azure cloud-tjeneste beskytter borgernes data effektivt.

GDPR's krav til cloud-tjenesteudbydere er følgende:

  • Udarbejdelse af principper for behandling af personoplysninger
  • Sikre, at processen for databehandling respekterer GDPR's 8 rettigheder for registrerede
  • Fastlægge krav til privacy by design for alle, der er involveret i databehandling og kontrolaktiviteter
  • Implementere kontrol med ejerskab af data og retten til dataportabilitet
  • Indføre sikkerhedsforanstaltninger, der sikrer privatlivets fred for data
  • fastlægge principper for behandling af data til internationale parter
  • udvikle politikker og procedurer til håndtering af brud på datasikkerheden
  • udarbejde politikker vedrørende indgåelse af kontraktlige aftaler, datalagringsperioder og andre gældende krav

Hvad er en virksomheds ansvar for data, der opbevares i skyen?

Tredjepartssikkerhedsspørgsmål er et stort problem i GDPR, og disse omfatter, når en tredjeparts cloud-platform lagrer data på vegne af en kundevirksomhed.

GDPR skelner mellem "dataansvarlige" og "databehandlere", når det gælder ansvarlighed for sikkerheden af personoplysninger.

I denne sammenhæng er virksomheden den dataansvarlige, mens cloud-softwareleverandøren er databehandleren - hvilket betyder, at virksomheden derfor er ansvarlig for at holde personoplysningerne sikre, uanset om de er lagret på deres egne servere eller ej.

 

Hvad du skal tænke på, når du vælger en cloud-platform

Inden virksomheder migrerer til skyen, er det tilrådeligt at sikre, at deres persondatastrøm er kortlagt korrekt, og at de foretager en konsekvensanalyse af privatlivets fred.

Følgende overvejelser vil være centrale i den forbindelse:

  • Datasuverænitet GDPR-bestemmelserne foreskriver, at data skal opbevares i Den Europæiske Union. Heldigvis er der mange cloud-tjenesteudbydere, der lader dig vælge, hvor dataene skal lagres, så du kan vælge en, der bruger datacentre i Europa.
  • Datasikkerhed Tjek, hvilken sikkerhed cloudlagringsplatformen har på plads, og vælg en, der tilbyder end-to-end-kryptering. I sidste ende skal du være tilfreds med, at udbyderen har tilstrækkelige sikkerhedsprocedurer på plads.
  • Respekt for registrerede personer Vælg en cloud-udbyder, der overholder de otte rettigheder til beskyttelse af personoplysninger for registrerede personer i EU - disse oplysninger bør cloud-virksomhederne let kunne give.
  • Databeskyttelse som design og som standard Sørg for, at cloud-virksomheden har integreret sikkerhed i sit design og sine procedurer - f.eks. ved at anvende nul viden-kryptering, der begrænser adgangen til følsomme oplysninger. Dette er vigtigt, da eventuelle databrud i sidste ende vil være din virksomheds ansvar.

Overholdelse af GDPR kræver løbende arbejde

Når en virksomhed har migreret data til skyen, er det klogt at foretage regelmæssige revisioner for at sikre, at driftsprocedurer og processer fortsat overholder GDPR.

Det er også tilrådeligt at kontrollere jævnligt, at cloud-platformen fortsat overholder eventuelle sikkerhedsgarantier, der er givet.

Dette arbejde udføres normalt af uafhængige tredjeparts-vagthunde eller anmeldelsessider, som bør verificeres, før der træffes en beslutning om, hvilken løsning der skal vælges.