Data i skyen: Få oversikt over sikkerhet og regler

Sky-bølgen ruller inn over bedriftene – men hvordan er det med sikkerheten? Hva er reglene for hvilke data som kan ligge i skyen? Vi har snakket med Ole Kjeldsen, teknologidirektør i Microsoft Danmark, for å finn ut mer om de eksisterende regler og EU`s nye persondataordning.

Data i skyen: Få styr på sikkerhed og regler

Den 25. mai 2018 trer de nye reglene for EU`s persondataordning i kraft. Da blir de strammet opp, og det vil bli konsekvenser for de bedriftene som ikke lever opp til de nye reglene. Så hva betyr det egentlig for deg og ditt selskap?

“Hvis du allerede har kontroll på dine data og databehandling, betyr det faktisk ikke så mye. Det handler fortsatt om å sikre oppbevaring på en forsvarlig måte, og at man sikrer integriteten av data – det vil si at det ikke er noen med uautorisert tilgang, og at det ikke er noen som kan rote rundt med datainformasjonen din. Sånn sett er det uforandret – for det sier reglene noe om allerede i dag”, forklarer Ole Kjeldsen, teknologidirektør i Microsoft Danmark, og fortsetter:

“Vi må bare konstatere, at mange virksomheter fortsatt ikke lever opp til gjeldene regler fra 1995 – og for dem handler det om å sette i gang raskest mulig. Den store endringen i loven er at straffen for ikke å ha kontroll over datainformasjonen stiger til nye høyder, og at man nå er pålagt en rekke databehandlingstiltak, som skal sikre at man overholder reglene, og passer godt på personopplysninger.

Lagring av sensitive personopplysninger

Likevel er det fortsatt flere som er tvilsom til nettskyen – spesielt med hensyn til lagring av sensitive personopplysninger.

“Det er en vanlig misforståelse, at skyen er uforenlig med personopplysninger. I virkeligheten er det ingen regler som setter stopper for bruken av skyen til oppbevaring og behandling av personopplysninger. Reglene forklarer bare hvordan du gjør det forsvarlig, og oppfyller kravene til sikkerhet og juridisk beskyttelse. Et av elementene er for eksempel at personopplysninger kan oppbevares og behandles utenfor EU/EØS, så lenge man sikrer at det er gjort under beskyttelse av EU`s såkalte “modellstandardkontrakter”, som også kan leve opp til de høyeste sikkerhetsstandarder – som man også kan oppleve at mange sky-løsninger gjør. Derfor har du kanskje muligheten til å oppnå en høyere grad av sikkerhet ved å benytte en moderne sky-løsning.

 

Det finnes to unntak til regelen om data, som ikke må føres ut av landet. “Er du i besittelse av data som inneholder NATO-hemmeligheter, må dette ikke lagres utenfor landet. Det er også poster som er omfattet av §41 ledd 4 i persondataloven, også kjent som krigsregelen. Krigsregelen sier at man ikke må utføre dataoppsett, som er nasjonaldekkende – det vil si der du har det samlede dataoppsettet for hele landet i ett system, og som er av en slik karakter, at en okkupasjonsmakt kunne bruke dataene til å få administrativ kontroll over landet. Det gjelder da det komplette CPR-registeret – men ikke opplysninger om den enkelte person, kommune, organisasjon, eller en utvalgt kundegruppe. For de fleste selskaper  er ”krigsregelen” irrelevant, og bør ikke være et problem”.

 

Sikkerhet i skyen

Sikkerheten i sky-miljøet er også en bekymring som Ole Kjeldsen møter, når han snakker med de IT-ansvarlige i forskjellige selskaper – men ofte kan det være sikrere å lagre data i skyen enn i kjelleren i bygget du jobber.

“Det å tro at sikkerheten er høyere fordi du vet hvor dataene er lagret, enten det er i egen kjeller eller fra en lokal hosting- eller sky-leverandør, har dette historisk sett, vist seg å være en falsk trygghet. Hva som gir et høyt sikkerhetsnivå er ikke plasseringen, men sikkerhetsprosedyren og profesjonaliteten rundt behandlingen av data og datasenterets infrastruktur”, forklarer han.

Den største sikkerhetsrisikoen har historisk vist seg å være brukerne, men det er ikke fordi de bevisst ønsker å skade sikkerheten.

“Det er viktig å si at de fleste brukerne ikke handler i ond tro – det dreier seg ofte om at medarbeideren ikke vet hva loven sier om databehandling og ikke tenker over at det er sensitive personopplysninger de jobber med. Slik kan de åpne bakdører for andre mennesker med skumle hensikter, eller til personer som ubevisst deler personopplysningene på steder hvor det ikke skal deles. Det er likevel et like stort problem – hvis ikke større  –  å lagre informasjon på ditt nåværende system som det er i skyen”, forteller Ole Kjeldsen.

Still krav til sky-leverandøren

Menneskelige feil, spesielt blant brukere som ikke er IT-eksperter, kan man dessverre aldri unngå. Men man kan minimere risikoen for problemer i skyen ved å stille krav til sky-leverandøren.

“Det første kravet til en leverandør, enten det er Microsoft, CSC, eller en lokal dataleverandør i Fyllingsdalen – må alltid være at det juridiske grunnlaget for databehandling skal være i orden. Er EUs modellstandardkontrakt på plass? Lever virksomheten opp til de felles standarder for behandling av data? Har leverandøren bevis for dette gjennom sertifiseringer eller rapporter? Etter dette, er det viktig med åpenhet. Har de svar på alle relevante spørsmål, som du har som kunde? Hva gjør de for eksempel hvis PST henvender seg om utlevering av data? Hva er prosessen for det? Dette må det gjøres rede for, og du bør være i stand til å svare umiddelbart.”

Oppsummert bør man vurdere om leverandøren er i samsvar med prinsippene for god sikkerhet, personvern, og etterfølger lover og regler – er de åpne om håndtering av prinsippene deres. Uansett om du lagrer data i et lokalt hosting-senter, eller oppbevarer dette i skyen hos en stor internasjonal leverandør, vil ansvaret for data ifølge loven alltid være ditt.

“Det er definert ganske klart i reglene at du aldri kan “outsource” ansvaret for data. Det vil alltid være den som samler inn data, som har ansvaret for at dette blir behandlet på riktig måte. Derfor må du også sørge for at din leverandør oppfyller disse kravene som er fastsatt”.