Skip to main content

GDPR för molntjänsteleverantörer - en översikt

Molnplattformar har blivit ett allt viktigare verktyg för moderna företag, och det är lätt att förstå varför - 85 % av USA:s företagsdata fanns i molnlagring 2020 och marknadsvolymen för offentliga moln förväntas nå 679 miljarder dollar 2025 (Statista, CRN).

Men i takt med att företagen i allt större utsträckning övergår till molnet har frågan om säkerheten för molnlagringsdata ökat i betydelse - särskilt mot bakgrund av de strikta GDPR-kraven som trädde i kraft 2018.

Vissa företag är oroliga för att de öppnar sig för böter för bristande efterlevnad av GDPR genom att använda en molnleverantör för att lagra data åt dem.

Och även om detta är förståeligt med tanke på att en tredje part är inblandad, finns det ingen anledning till varför data som lagras och hanteras nödvändigtvis skulle vara mindre säkra.

Vad är molnet?

Enkelt uttryckt är molnet ett nätverk av servrar som är utformade för att lagra stora mängder data.

Företag kan använda denna hårdvara för att lagra sina egna data, som är tillgängliga för dem via Internet.

Populära exempel är Dropbox, Google Cloud och Amazon Web Services.

I stort sett kan molnprogramvara kategoriseras i tre typer:

  1. Offentlig - en internetbaserad molntjänst som levereras till flera organisationer, antingen gratis eller med en prenumeration som betalas per användning.
  2. Privat - en intern molntjänst som är avsedd för ett enskilt företag.
  3. Hybrid - en blandning av offentligt och privat moln.

De delas ofta också upp på ett annat sätt:

  • Infrastruktur som tjänst (IaaS) - ett företag betalar för att få tillgång till en molnleverantörs dator- och lagringsresurser.
  • Software-as-a-Service (SaaS) - ett företag betalar för att få tillgång till programvara på begäran via Internet.
  • Platform-as-a-Service (PaaS) - en tjänst med en utvecklings- och distributionsmiljö som företag kan använda för att bygga program i en webbläsare.

Fördelar med molnet för företag

Molnlagring kan ha enorma fördelar för företag till ett dämpat pris: det minskar kostnaderna för datasäkerhet och datahantering, förbättrar kommunikationen och katalyserar bättre lagarbete.

Företagen drar också nytta av ökad säkerhet, mindre stillestånd på grund av IT-infrastrukturproblem och utmärkt skalbarhet när de växer.

Sammantaget ger molnprogramvara företagen den extra flexibilitet som kan ge dem en avgörande konkurrensfördel:

  • 84 % rapporterar operativa förbättringar inom de första månaderna efter införandet (Multisoft).
  • Små och medelstora företag anser att det är 40 % mer kostnadseffektivt att använda molnplattformar från tredje part än att ha ett internt alternativ (Multisoft).
  • 94 % av företagen rapporterar om betydande förbättringar av onlinesäkerheten efter att ha flyttat data till molnet (Salesforce).

Hur har molnprogramvara påverkats av GDPR?

Avgörande är att 91 % av företagen anser att molnlagringsplattformar har varit till stor hjälp i arbetet med att uppfylla myndighetskrav som GDPR (Salesforce).

De har länge utformats med säkerheten i fokus och använder avancerad kryptering vid överföring av data - vilket innebär att ingen obehörig användare kan få tillgång till privat information.

GDPR har dock permanent förändrat hur personuppgifter kan lagras och behandlas i molnet och Europeiska datatillsynsmannen - EU:s integritetsbevakare - undersöker om Amazons AWS och Microsofts Azure-molntjänst skyddar medborgarnas uppgifter på ett effektivt sätt.

GDPR:s krav på leverantörer av molntjänster är följande:

  • Utarbeta principer för behandling av personuppgifter.
  • Se till att processen för databehandling respekterar GDPR:s åtta rättigheter för registrerade personer.
  • Upprätta krav på privacy by design för alla som är involverade i databehandling och kontrollverksamhet.
  • Genomföra kontroller av äganderätten till uppgifter och rätten till dataportabilitet.
  • Införa säkerhetsåtgärder för att garantera uppgifternas integritet.
  • Fastställa principer för behandling av uppgifter till internationella parter.
  • Utarbeta riktlinjer och förfaranden för att hantera brott mot uppgiftsskyldigheten.
  • Utarbeta riktlinjer för upprättande av avtal, lagringsperioder för uppgifter och andra tillämpliga krav.

Vad är företagets ansvar för uppgifter som lagras i molnet?

Säkerhetsfrågor som rör tredje part är ett stort problem i GDPR, och dessa omfattar när en tredje parts molnplattform lagrar uppgifter för ett kundföretags räkning.

GDPR skiljer mellan "registeransvariga" och "registerförare" när det gäller ansvaret för säkerheten för personuppgifter.

I det här sammanhanget är företaget personuppgiftsansvarig, medan leverantören av molnprogramvara är personuppgiftsbiträde - vilket innebär att företaget därför är ansvarigt för att hålla personuppgifter säkra, oavsett om de lagras på deras egna servrar eller inte.

 

Vad man bör tänka på när man väljer en molnplattform

Innan de migrerar till molnet är det tillrådligt för företag att se till att deras personuppgiftsflöde är ordentligt kartlagt och att göra en konsekvensbedömning av integritetsskyddet.

Följande överväganden är centrala i detta sammanhang:

  • Datasuveränitet GDPR-bestämmelserna föreskriver att uppgifter måste lagras i Europeiska unionen. Lyckligtvis finns det många molntjänstleverantörer som låter dig välja var data lagras, så du kan välja en som använder datacenter i Europa.
  • Datasäkerhet Kontrollera vilken säkerhet molnlagringsplattformen har, och välj en som erbjuder end-to-end-kryptering. I slutändan måste du vara nöjd med att leverantören har tillräckliga säkerhetsrutiner.
  • Respekt för registrerade personer Välj en molnleverantör som följer de åtta integritetsrättigheterna för registrerade personer i EU - denna information bör molnföretagen lätt kunna tillhandahålla.
  • Dataskydd genom utformning och som standard Se till att molnföretaget har integrerat säkerheten i sin utformning och sina förfaranden - till exempel genom att använda kryptering med nollkunskap som begränsar åtkomsten till känslig information. Detta är viktigt med tanke på att eventuella dataintrång i slutändan kommer att vara ditt företags ansvar.

Efterlevnad av GDPR kräver kontinuerligt arbete

När ett företag väl har migrerat data till molnet är det klokt att genomföra regelbundna revisioner för att se till att operativa rutiner och processer fortsätter att följa GDPR.

Det är också klokt att regelbundet kontrollera att molnplattformen fortsätter att uppfylla alla säkerhetsgarantier som getts.

Detta arbete utförs normalt av oberoende tredjepartsövervakare eller granskningssajter, vilket bör verifieras innan man fattar beslut om vilket alternativ man ska välja.