Rätt hantering av personuppgifter i molnet – En förtroendefråga

15 september 2021 / Artikel

Användandet av molntjänster är en av de viktigaste nycklarna för att lyckas med er digitala transformation, men med molntjänsternas alla fördelar kommer även ansvarsfrågan för vad som får lagras i vilka molntjänster. ”Visst kan du använda molntjänster, trots EU:s GDPR-förordning. Men gör det på rätt sätt och med rätt leverantör, annars kan det bli dyra sanktionsavgifter”, säger Alexander Kotka, DPO på Iver.

Vad som kan lagras i amerikanska molntjänster, och vad din organisation måste ta speciell hänsyn till och lagra i europeiska lösningar? De frågorna har nu blivit allt viktigare att kunna svara på, bland annat efter en dom i EU-domstolen sommaren 2020. Domen, Schrems II, efter den österrikiske juristen Max Schrems som för andra gången drog Facebook inför rätta. I korthet anmälde Max Schrems att hans personuppgifter på Facebook fördes över till amerikanska servrar och att uppgifterna därmed inte var skyddade i enlighet med EU:s grundläggande rättigheter.

Domstolen gav Max Schrems rätt: personuppgifter i EU-länder ska som huvudregel inte föras över till ett så kallat tredje land, alltså länder utanför EU/EES. Domen innebär också att lagkraven på svenska företag och organisationer, när det gäller personuppgifter och GDPR, har blivit tydligare, enligt Alexander Kotka, DPO på Iver.

– Svenska företag, kommuner och myndigheter kan absolut använda molntjänster. Men det handlar om vilka molntjänster de kan använda – och till vad, säger Alexander och tillägger:

– Finns det inga inslag av personuppgifter är det inga bekymmer att använda molntjänster från de stora globala aktörerna. Men för till exempel HR-system där det finns information om medarbetare eller en myndighets persondata måste informationen lagras i Europa.

Förtydligandet av förordningen innebär samtidigt att hanteringen av personuppgifter och hur väl företaget eller organisationen efterlever GDPR, blir en viktig förtroendefråga, påpekar Alexander.

– Vår uppfattning är att om ett företag inte tar lagar och förordningar på allvar och börjar lagra personuppgifter på rätt sätt så kommer förtroendet att gå i botten. Vi brukar tala om ’har du råd att inte följa GDPR’, för om man missar detta kan företaget snabbt tappa förtroendet – och kunderna.

Med Compliant Cloud erbjuder Iver en molntjänst som adresserar just de här frågorna. Compliant Cloud är nämligen ett moln med inbyggd regelefterlevnad. Tjänsten levereras från Ivers säkerhetsklassade datacenter i Sverige, Norge och Europa och riktar sig till myndigheter och organisationer som har särskilt höga regulatoriska krav på sig gällande säkerhet och datalagring.

För att få till genomtänkta och smidiga helhetslösningar på detta område är Alexanders råd till kunder att gå grundligt till väga och koppla frågan om GDPR och persondata till organisationens övergripande molnstrategi.

  • En robust molnstrategi behöver besvara frågorna om vad det är som ska transformeras, vilket moln som är lämpligt för en viss applikation eller tjänst och till sist hur vi går till väga. Riskanalyser och informationsklassning - hur olika typer av data ska hanteras och lagras - är A och O, och bör finnas med från allra första början. På så sätt säkerställer vi att regelefterlevnad och personlig integritet byggs in i såväl strategi som lösning och riskerar inte kostsamma efterhandskonstruktioner, avslutar Alexander.