Data i skyen: Få styr på sikkerhed og regler

Cloudbølgen ruller ind over erhvervslivet – men hvordan er det nu med sikkerheden? Og reglerne for, hvilke data der må ligge i skyen? Vi har taget en snak med Ole Kjeldsen, teknologidirektør hos Microsoft Danmark, om de gældende regler og EU's nye persondataforordning.

Data i skyen: Få styr på sikkerhed og regler

Den 25. maj 2018 træder de nye regler for EU's persondataforordning i kraft. Dermed bliver der strammet op, og det vil få større konsekvenser for de virksomheder, der ikke lever op til reglerne. Så hvad betyder det egentlig for dig og din virksomhed?

"Hvis du allerede har styr på dine data og din databehandling, betyder det faktisk ikke så meget. Det handler stadig om at sikre, at data opbevares på forsvarlig vis, og at man sikrer integriteten af data – altså at der ikke er uretmæssig adgang, og at der ikke er nogen, som kan pille ved data. Så det er som sådan uforandret – for det siger reglerne allerede noget om i dag", forklarer Ole Kjeldsen, teknologidirektør i Microsoft Danmark, og forsætter:

"Vi må bare konstatere, at mange virksomheder fortsat ikke lever op til de gældende regler fra 1995 – og for dem handler det om at komme i gang hurtigst muligt. De store ændringer består nemlig i, at straffene for ikke at have styr på data stiger til helt nye højder, og at man nu er pålagt en række databehandlingstiltag, som skal sikre, at man overholder reglerne og passer ordentligt på persondata".

 

Opbevaring af personfølsomme data
Der er dog stadig mange, som er betænkelige ved cloud – især med hensyn til opbevaring af visse persondata:

"Det er en udbredt misforståelse, at cloud er uforeneligt med persondata. Men reelt er der ingen regler, som umuliggør brugen af cloud til opbevaring og behandling af personoplysninger. Reglerne siger kun noget om, hvordan du gør det forsvarligt og lever op til kravene om sikkerhed og juridisk beskyttelse. Et af elementerne er for eksempel, at persondata godt kan opbevares og behandles uden for EU/EØS, så længe man sikrer, at det sker under beskyttelse af EU's såkaldte 'modelstandardkontrakter' og i øvrigt kan leve op til de bedst mulige sikkerhedsstandarder – og  det vil man opleve, at mange cloudløsninger gør. Så du har måske snarere en mulighed for at opnå et højere sikkerhedsniveau ved at anvende en moderne cloudløsning".

Der findes dog to undtagelser til reglen angående data, som ikke må føres ud af landet: "Er du i besiddelse af data, som indeholder NATO-hemmeligheder, må det ikke opbevares uden for landet. Og så er der datasæt, som er omfattet af § 41 stk. 4 i persondataloven, også kendt som krigsreglen. Krigsreglen siger, at man ikke må udføre datasæt, der er nationalt dækkende – altså hvor man har det samlede datasæt for hele landet i et system – og som er af en sådan karakter, at en besættelsesmagt vil kunne bruge dataene til at opnå administrativ kontrol med landet. Det gælder altså ting som det fulde CPR-register – men ikke oplysninger om den enkelte person, en enkelt kommune, en enkelt organisation eller en udvalgt kundegruppe. Så for langt, langt de fleste virksomheder er 'krigsreglen' ganske enkelt irrelevant og bør ikke være et problem".

 

Sikkerheden i skyen
Sikkerheden i skymiljøet er ofte også en af de bekymringer, som møder Ole Kjeldsen, når han snakker med de it-ansvarlige hos danske virksomheder – men ofte er det faktisk mere sikkert at opbevare data i skyen end i kælderen:

"Det med at tro, at sikkerheden er højere, fordi man ved, hvor data er, enten i ens egen kælder eller hos en lokal hosting- eller cloudleverandør, har historisk vist sig at være en falsk sikkerhed. Det, der giver et højt sikkerhedsniveau, er ikke lokationen – det er de sikkerhedsprocedurer og den professionalisme, som data og en datacenterinfrastruktur behandles med", forklarer han.

Den største sikkerhedsrisiko har historisk vist sig at være brugerne, men ikke fordi de bevidst vil skade sikkerheden:

"Det er vigtigt at sige, at de fleste brugere ikke handler i ond tro – det drejer sig ofte om, at brugerne ikke ved, hvad lovgivningen siger om databehandling, og ofte ikke tænker over, at det er følsomme data, de arbejder med. Og dermed åbner de en bagdør for andre, som kan have mere lyssky interesser, eller kommer uforvarende til at dele personfølsomme data, hvor de ikke skulle deles. Men det er lige så stort et problem – hvis ikke større – i dit nuværende system som i skyen", fortæller Ole Kjeldsen.

 

Stil krav til din cloudleverandør
Menneskelige fejl, især blandt brugere, som ikke er it-eksperter, kan man desværre aldrig helt forhindre. Men man kan minimere risikoen for problemer i skyen ved at stille krav til sin cloudleverandør.

"Dit første krav til en leverandør – lige meget om det er Microsoft, CSC eller et lokalt datacenter i Foulum – skal altid være, at det juridiske grundlag for databehandling skal være i orden – er EU's modelstandardkontrakt på plads? Lever virksomhederne op til de gængse standarder for behandling af data? Har de beviser for det i form af certificeringer og rapporter? Derefter er det vigtigt at sikre, at der er transparens. Har de svar på alle relevante spørgsmål, du stiller som kunde? – hvad gør de fx, hvis PET henvender sig om data, de vil have udleveret? Hvad er processen for det? Det bør der være styr på, og du bør kunne få svaret med det samme".

Samlet set bør man vurdere, om leverandøren efterlever principper for god sikkerhed, privatlivsbeskyttelse og overholdelse af love og reguleringer – og om de er transparente med hensyn til deres håndtering af de principper. For uanset om du selv opbevarer data, om du har det i et lokalt hostingcenter, eller du opbevarer det i skyen hos en stor, international leverandør, vil ansvaret for data ifølge lovgivningen altid være dit:

"Det er defineret ret tydeligt i reglerne, at man aldrig kan outsource ansvaret for data – det vil altid være parten, som indsamler data, der har ansvaret for, at de bliver behandlet forsvarligt – så derfor skal du også sikre dig, at din leverandør lever op til de fastsatte krav".