Data i molnet: säkerhet och regler

Allt fler företag använder molnlagring idag, men hur är det med säkerheten? Och vilka data får ligga i molnet enligt reglerna? Vi har pratat med Ole Kjeldsen som är teknisk direktör på Microsoft Danmark om vilka regler som gäller och om EU:s nya dataskyddsförordning.

Data i skyen: Få styr på sikkerhed og regler

Den 25 maj 2018 träder de nya reglerna i EU:s dataskyddsförordning i kraft. Det innebär en uppstramning av reglerna och konsekvenserna blir också större för de företag som inte lever upp till reglerna. Vad innebär då detta för dig och ditt företag?

Om du redan har koll på din data och din databehandling betyder det inte så mycket. Det handlar fortfarande om att säkerställa att data lagras ansvarsfullt och se till att bevara dataintegriteten, ingen obehörig åtkomst och ingen ska kunna manipulera data. Det är egentligen samma regler som idag”, förklarar Ole Kjeldsen, teknisk direktör på Microsoft Danmark. Han fortsätter:

Vi kan bara konstatera att många företag inte lever upp till de gällande reglerna från 1995 och för dem gäller det att komma igång så snabbt som möjligt. De stora förändringarna består nämligen av att straffen för dem som inte har koll på sin data stiger till helt nya nivåer. Man har också infört en rad databehandlingsåtgärder som ska säkerställa att reglerna följs och att personuppgifter skyddas.

Lagring av känsliga personuppgifter
Många är fortfarande betänksamma när det gäller molnlagring, i synnerhet när det gäller vissa personuppgifter:

Det är ett utbrett missförstånd att moln inte är lämpligt för lagring av personuppgifter. Men i själva verket finns det inga regler som omöjliggör användning av moln för lagring och behandling av personuppgifter. Enligt reglerna måste du bara göra det på ett ansvarsfullt sätt och leva upp till kraven om säkerhet och rättsligt skydd. Du kan exempelvis lagra och behandla personuppgifter utanför EU/EES så länge du ser till att det sker under EU:s så kallade modellavtal samt enligt den högsta säkerhetsstandarden, vilket många molnlösningar lever upp till. Det är alltså möjligt att uppnå en högre säkerhetsnivå om du använder en modern molnlösning.

Säkerhet i molnet
Säkerheten i molnet är också en sak som många undrar över när Ole Kjeldsen pratar med it-ansvariga på danska företag, men ofta är det faktiskt säkrare att lagra data i molnet än i källaren:

Att tro att säkerheten är högre för att man vet var data lagras, antingen i källaren, hos ett lokalt hostingföretag eller en molnleverantör har visat sig vara en falsk trygghet. Det som ger en hög datasäkerhet är inte platsen, det är istället säkerhetsrutiner och att data samt infrastrukturen i datacentralen hanteras på ett professionellt sätt”, förklarar han.

Den största säkerhetsrisken har historiskt visat sig vara användarna, men inte för att de medvetet vill äventyra säkerheten:

Det är viktigt att poängtera att de flesta användare inte medvetet vill tumma på säkerheten, utan det handlar oftast om att användarna inte vet vad lagen säger om databehandling. Det är också vanligt att man inte tänker på att det är känsliga uppgifter man arbetar med. Därmed öppnas en bakdörr för andra som kan ha mer ljusskygga intressen eller oavsiktligt kan sprida känsliga uppgifter som inte borde delas. Men det är ett lika stort problem, om inte större, i ditt nuvarande system som i molnet”, berättar Ole Kjeldsen.

Ställ krav på din molnleverantör
Att människor begår misstag, i synnerhet användare som inte är it-experter, kan man tyvärr aldrig helt förhindra. Men man kan minimera risken för problem i molnet genom att ställa krav på sin leverantör.

Se till att den rättsliga grunden för databehandling är på plats. Använder företaget EU:s modellavtal? Uppfylls kriterierna gällande standard för databehandling? Har leverantören bevis för det i form av certifieringar och rapporter? Det är också viktigt att säkerställa transparens. Har de svar på alla relevanta frågor som du ställer som kund?

Man bör alltså ta reda på om leverantören uppfyller principerna för god säkerhet och integritetsskydd, följer lagar och regler, samt om deras hantering av principerna är transparent. Du har nämligen alltid själv ansvaret för att följa lagstiftningen, oavsett om du själv lagrar data, om de finns hos ett lokalt hostingföretag eller i molnet hos en stor internationell leverantör:

Det definieras ganska tydligt i reglerna att det inte går att utlokalisera ansvaret för data. Det är alltid den part som samlar in data som ansvarar för att den behandlas ansvarsfullt och därför ska du alltid försäkra dig om att din leverantör lever upp till kraven.