Skip to main content

GDPR for skytjenesteleverandører – en oversikt

Skyplattformer har blitt et stadig viktigere verktøy for moderne virksomheter, og det er lett å se hvorfor - 85 % av amerikanske bedriftsdata var i skylagring i 2020 og det offentlige skymarkedsvolumet forventes å nå 679 milliarder dollar innen 2025 (Statista, CRN ).

Men etter hvert som selskaper foretar migrering til skyen i stadig økende antall, har spørsmålet om datasikkerhet for nettskylagring blitt viktigere – spesielt i lys av strenge GDPR-krav som trådte i kraft i 2018.

Noen virksomheter er bekymret for at de åpner seg for bøter for manglende overholdelse av GDPR ved å bruke en skyleverandør til å lagre data for dem.

Og selv om dette er forståelig gitt at en tredjepart er involvert, er det ingen grunn til at data som lagres og administreres, nødvendigvis skal være mindre sikre.

Hva er skyen?

Enkelt sagt er skyen et nettverk av servere designet for å lagre enorme mengder data.

Bedrifter kan bruke denne maskinvaren til å lagre sine egne data, som er tilgjengelige for dem via internett.

Populære eksempler inkluderer Dropbox, Google Cloud og Amazon Web Services.

Stort sett kan skyprogramvare kategoriseres i tre typer:

  1. Public – en internettbasert skytjeneste levert til flere organisasjoner, enten gratis eller med et betal-per-bruk-abonnement
  2. Privat – en intern skytjeneste dedikert til ett enkelt selskap
  3. Hybrid – en blanding av offentlig og privat sky

De er ofte også brutt ned på en annen måte:

  • Infrastructure-as-a-Service (IaaS) – et selskap betaler for å få tilgang til en skyleverandørs data- og lagringsressurser
  • Software-as-a-Service (SaaS) – et selskap betaler for å få tilgang til programvare på forespørsel over internett
  • Platform-as-a-Service (PaaS) – en tjeneste med et utviklings- og distribusjonsmiljø som bedrifter kan bruke til å bygge applikasjoner i en nettleser

Fordeler med skyen for selskaper

Skylagring kan ha store fordeler for bedrifter til en begrenset pris: det reduserer datasikkerhet og administrasjonskostnader, forbedrer kommunikasjonen og katalyserer bedre teamarbeid.

Bedrifter drar også nytte av forbedret sikkerhet, mindre nedetid fra IT-infrastrukturproblemer og utmerket skalerbarhet etter hvert som de vokser.

Til sammen gir skyprogramvare bedrifter den ekstra fleksibiliteten som kan gi dem et avgjørende konkurransefortrinn:

  • 84 % rapporterer driftsforbedringer i løpet av de første månedene etter introduksjonen (Multisoft)
  • Små og mellomstore bedrifter synes det er 40 % mer kostnadseffektivt å bruke tredjeparts skyplattformer enn å opprettholde et internt alternativ (Multisoft)
  • 94 % av virksomhetene rapporterer betydelige forbedringer av nettsikkerhet etter migrering av data til skyen (Salesforce)

Hvordan har skyprogramvare blitt påvirket av GDPR?

Avgjørende er at 91 % av selskapene mener at skylagringsplattformer har vært til stor hjelp i deres overholdelsesarbeid for myndighetskrav, som GDPR (Salesforce).

De har lenge vært utformet med sikkerhet foran og i sentrum, og bruker avansert kryptering ved overføring av data – noe som betyr at ingen uautoriserte brukere kan få tilgang til privat informasjon.

Når det er sagt, har GDPR permanent endret hvordan personopplysninger kan lagres og behandles i skyen, og EDPS – EUs personvernvakthund – undersøker om Amazons AWS og Microsofts Azure skytjeneste beskytter innbyggerdata effektivt.

GDPRs krav til skytjenesteleverandører er som følger:

  • Utvikle prinsipper for behandling av personopplysninger
  • Sørg for at prosessen for databehandling respekterer GDPRs 8 datasubjektrettigheter
  • Etablere krav til personvern ved design for alle som er involvert i databehandling og kontrollerende aktiviteter
  • Implementere kontroller over dataeierskap og dataportabilitetsrett
  • Introduser sikkerhetstiltak som sikrer personvernet til data
  • Etablere prinsipper for behandling av data til internasjonale parter
  • Utvikle retningslinjer og prosedyrer for å håndtere datainnbrudd
  • Utvikle retningslinjer angående etablering av kontraktsavtaler, datalagringsperioder og andre gjeldende krav

Hva er et selskaps ansvar for data som holdes i skyen?

Tredjeparts sikkerhetsproblemer er en stor bekymring for GDPR, og disse inkluderer når en tredjeparts skyplattform lagrer data på vegne av en kundebedrift.

GDPR skiller mellom "databehandlere" og "databehandlere" når det gjelder ansvarlighet for sikkerheten til personopplysninger.

I denne sammenhengen er virksomheten behandlingsansvarlig, mens skyprogramvareleverandøren er databehandler – noe som betyr at virksomheten derfor er ansvarlig for å holde personopplysninger trygge, uavhengig av om de er lagret på deres egne servere eller ikke.

Hva du bør tenke på når du velger en skyplattform

Før de migrerer til skyen, er det tilrådelig for selskaper å sørge for at deres persondataflyt er riktig kartlagt og å gjennomføre en konsekvensvurdering av personvernet.

Sentralt i dette vil være følgende hensyn:

  • DatasuverenitetGDPR-forskrifter fastsetter at data skal lagres i EU. Heldigvis er det mange skytjenesteleverandører som lar deg velge hvor data skal lagres, så du kan velge en som bruker datasentre i Europa.
  • DatasikkerhetSjekk hvilken sikkerhet skylagringsplattformen har på plass, og velg en som tilbyr ende-til-ende-kryptering. Til syvende og sist må du være fornøyd med at leverandøren har tilstrekkelige sikkerhetsprosedyrer på plass.
  • Respekt for datasubjekterVelg en skyleverandør som overholder de åtte personvernrettighetene til EU-datasubjekter – denne informasjonen bør enkelt leveres av skyselskaper.
  • Databeskyttelse ved design og som standardSørg for at skyselskapet har integrert sikkerhet i design og prosedyrer – for eksempel ved å bruke zer0-kunnskapskryptering som begrenser tilgang til sensitiv informasjon. Dette er nøkkelen gitt at eventuelle datainnbrudd til syvende og sist vil være selskapets ansvar

Overholdelse av GDPR krever kontinuerlig arbeid

Når en bedrift har migrert data til skyen, er det lurt å gjennomføre regelmessige revisjoner for å sikre at operasjonelle prosedyrer og prosesser fortsetter å overholde GDPR.

Det er også tilrådelig å regelmessig sjekke at skyplattformen fortsetter å overholde eventuelle sikkerhetsgarantier som er gitt.

Dette arbeidet utføres normalt av uavhengige tredjeparts vaktbikkjer eller vurderingssider, som bør verifiseres før du tar noen beslutning om hvilket alternativ du skal gå for.