Kan vi stole på skyen?

av Truls Vaagan - Agency Director og ansvarlig for Sopra Sterias RightCloud-portefølje
| minutter å lese

Å sørge for at vi overholder lover og regler når vi går inn i skyen er viktig. Men kan vi stole på skyleverandørene og hvordan de håndterer dataene våre?  

Jeg er en forkjemper for offentlige skytjenester, og etter min mening så veier fordelene ved riktig brukt av offentlige skytjenester opp for ulempene og risikoene. Skyen er sikker, hvis vi gjør det riktig.  

Samtidig så er jeg også klar over at mange norske virksomheter har et sett med lover og regler som de må forholde seg til – og som må følges. Og mange opplever akkurat dette som en utfordring som hindrer dem i å komme ordentlig i gang med skyteknologi. 

Nasjonal Sikkerhetsmyndighet (NSM) skriver: «Det er ingenting i veien for at virksomheter kan bruke skytjenester for systemer som ikke er skjermingsverdig og samtidig ha andre informasjonssystemer som er underlagt sikkerhetsloven. Det er heller ikke et eksplisitt forbud i loven mot å tjenesteutsette informasjonssystemer underlagt sikkerhetsloven til en skytjenesteleverandør.» 

De skriver også at det ikke er krav til at alle systemer driftes av norsk personell, og at det ikke er krav til at alle systemer må være på norsk jord. 

Her snakker vi altså om sikkerhetsloven og de virksomhetene som er underlagt denne. Det NSM skriver er også veiledende for andre offentlige og private virksomheter.  

Virksomhetene er likevel selv ansvarlige for å sørge for at bruken av skytjenester gjøres innenfor norske og internasjonale regler.  

Personopplysningsloven åpner for overføring av data til andre land, gitt at virksomheten sørger for å sikre det samme vernet som GDPR-lovgivningen gir og kravene som stilles. Krav til behandling og oppbevaring av personopplysninger gjelder for øvrig like mye om virksomheten bruker skytjenester eller benytter personopplysninger på annen måte. Andre regelverk som virksomhetene må forholde seg til med tanke på skytjenester, er særlig bokføringsloven og arkivloven. 

Nå om dagen er det mange som har spørsmål knyttet til Schrems II-dommen. Det europeiske personvernrådet (EDPB) har laget en utfyllende veiledning om Schrems II, knyttet til hvilke vilkår som må være oppfylt for å kunne overføre personopplysninger til land utenfor EU/EØS. IAPP (International Association of Privacy Professionals) mener at vi kan legge til grunn en form for risikovurdering i Schrems II-vurderingene. 

I webinaret  «Kan vi stole på skyen?» poengterer kollega Britt Eva Haaland i Sopra Steria, hvor viktig det er å ha orden i eget hus, og å gjennomføre et sett med organisatoriske tiltak, sammen med egnede tekniske beskyttelsestiltak og juridiske tiltak. Slik vil virksomhetene kunne sikre god nok beskyttelse også ut fra Schrems II. 

Stegene i vurderingen er

  1. Kjenn dine overføringer, og kartlegg all overføring av personopplysninger til land utenfor EU og EØS 
  2. Identifiser hvilke overføringsgrunnlag som ligger til grunn for overføringen
  3. Vurdere om overføringsgrunnlaget og beskyttelsesnivået er effektivt
  4. Identifiser egnede beskyttelsestiltak (se liste under)
  5. Implementer beskyttelsestiltakene
  6. Vurder jevnlig, og utarbeid plan for videre arbeid 

Datatilsynet har beskrevet det mer detaljert: 

Tiltakene kan være organisatoriske, tekniske og juridiske, og her er en guide i listeform som jeg håper kan være nyttig for norske virksomheter. 

Organisatoriske tiltak: 

  • Sørg for gode rapporteringslinjer
  • Dokumentasjon og prosesser ved utleveringsbegjær
  • God opplæring på dokumentasjon og prosesser
  • Streng tilgangsstyring
  • Etabler en organisasjon som er rustet til å håndtere utleveringsbegjæringer 

Tekniske beskyttelsestiltak:

  • Kryptering av data ved bruk av sikre krypteringsmekanismer. Gjerne dobbelkryptering hvor virksomhetens nøkkel legges utenfor skyløsningen
  • God og sikker forvaltning av krypteringsnøkkel (eies av kunden)
  • Anonymisering og pseudonymisering av data
  • Modernisering av aktuelle applikasjoner med sikkerhet i designet og nødvendige sikkerhetsmekanismer i applikasjonslaget.  

Juridiske tiltak: 

  • Etabler en databehandler-avtale med skyleverandørene og eventuelt andre partnere/leverandører som behandler data på vegne av virksomheten 
  • Pålegg dataimportør å jevnlig vise frem dokumentasjon på tiltak de har implementert knyttet til sikkerhet og behandling av data
  • Pålegg dataimportør å iverksette bestemte tekniske tiltak, for eksempel knyttet til sikkerhet og nøkkelhåndtering
  • Forby dataimportør å reidentifisere personopplysninger i anonymiserte, pseudonymiserte eller krypterte datasett
  • Pålegg dataimportør å informere virksomheten om eventuelle forespørsler om utlevering eller innsyn i data
  • Sørg for jevnlig dialog med databehandler om muligheter for å forhindre at utenlandske myndigheter får tilgang eller innsyn i personopplysningene 

Det aller viktigste rådet jeg kan gi er at virksomheten må ha kontroll på at personopplysningene er sikret godt nok til å vite hvilke tjenester du kan benytte deg av - uavhengig av om det er en skytjeneste eller ikke. De ovennevnte punktene bør kunne hjelpe deg i gang.

 

Se webinaret "Kan vi stole på skyen?"

 

Se de andre tre webinarene i serien.

 

Search

Se alle blogginnleggene våre