Riktig behandling av personopplysninger i skyen – et spørsmål om tillit

Hva kan lagres i amerikanske skytjenester, og hva må organisasjonen ta spesielt hensyn til og lagre i europeiske løsninger? Disse spørsmålene har det blitt stadig viktigere å kunne svare på, blant annet etter en dom i EU-domstolen sommeren 2020. Dommen, Schrems II, er oppkalt etter den østerrikske juristen Max Schrems, som for andre gang brakte Facebook for retten. Kort fortalt hevdet Max Schrems at siden personopplysningene hans på Facebook ble overført til amerikanske servere, var ikke opplysningene beskyttet i samsvar med EUs grunnleggende rettigheter.

Domstolen gav Max Schrems medhold: Personopplysninger i EU-land skal som hovedregel ikke overføres til et såkalt tredjeland, altså land utenfor EU/EØS. Dommen innebærer også at de lovpålagte kravene til svenske bedrifter og organisasjoner har blitt tydeligere når det gjelder personopplysninger og GDPR, ifølge DPO Alexander Kotka i Iver.

– Svenske bedrifter, kommuner og myndigheter kan selvsagt bruke skytjenester. Men det handler om hvilke skytjenester de kan bruke – og til hva, sier Alexander og legger til:

– Hvis dataene ikke inneholder personopplysninger, er det helt uproblematisk å bruke skytjenester fra de store globale aktørene. Men når det gjelder for eksempel HR-systemer, som inneholder personopplysninger knyttet til medarbeidere eller myndigheter, må dataene lagres i Europa.

Avklaringene om forordningen innebærer samtidig at behandlingen av personopplysninger – og bedriftens eller organisasjonens evne til å etterleve GDPR – blir et viktig spørsmål om tillit, påpeker Alexander.

– Vi mener at hvis en bedrift ikke tar lover og forordninger på alvor og begynner å lagre personopplysninger på riktig måte, vil det gå utover tilliten. Vi pleier å spørre om bedrifter «har råd til å ikke følge GDPR», for gjør man ikke det, kan bedriften fort miste tillit – og kunder.

Med Compliant Cloud tilbyr Iver en skytjeneste som ivaretar nettopp disse spørsmålene. Compliant Cloud er nemlig en skytjeneste med innebygd regeletterlevelse. Tjenesten leveres fra Ivers sikkerhetsklassifiserte datasentre i Norge, Sverige og Europa og er beregnet på myndigheter og organisasjoner som må oppfylle ekstra strenge krav når det gjelder sikkerhet og datalagring.

For å skape gjennomtenkte og smarte helhetsløsninger på dette området er Alexanders råd til kundene at de bør gå grundig til verks og knytte spørsmålet om GDPR og personopplysninger til organisasjonens overordnede skystrategi.

- En robust skystrategi må svare på hva som skal transformeres, hvilken skytjeneste som egner seg for en bestemt applikasjon eller tjeneste, og til slutt hvordan vi går frem. Risikoanalyser og informasjonsklassifisering – hvordan ulike typer data skal behandles og lagres – er alfa og omega, og bør være med helt fra starten. På den måten sikrer vi at regeletterlevelse og personlig integritet bygges inn i både strategi og løsning, og vi risikerer ikke kostbare endringer i ettertid, avslutter Alexander.