23 juli 2018

GDPR och molntjänster – så förändras spelplanen

Den 25 maj trädde som bekant EU:s nya dataskyddsförordning GDPR i kraft. GDPR påverkar i stort sett varje del av alla organisationer som hanterar personuppgifter och ställer helt nya och hårdare krav på varför dessa uppgifter samlas in och hur och var de lagras och skyddas.

Jämfört med den tidigare personuppgiftslagen PUL är GDPR mer omfattande och djupgående. Till exempel har den tidigare så kallade missbruksregeln (ett undantag för att behandla personuppgifter i ostrukturerad form, till exempel e-post, enklare namnlistor och löpande text) som gick att applicera under den tidigare Personuppgiftslagen (PUL), nu tagits bort helt. Därmed omfattas nu även personuppgifter i e-post, något som är väldigt viktigt att ha i åtanke.

Det ställs också väldigt mycket strängare krav på incidentrapportering. Organisationer som inte följer GDPR kan i värsta fall drabbas av stora bötesbelopp. Dessvärre kan det vara lite snårigt att förstå exakt vilket ansvar din organisation har, och vilket ansvar exempelvis underleverantörer ha. Ett tidigt missförstånd var kring GDPR var till exempel att en del företag trodde att det var möjligt att helt outsourca ansvaret för hanteringen av personuppgifter. Det är enkelt uttryckt inte alls möjligt med GDPR – du är alltid ansvarig i slutändan även om du använder externa leverantörer av IT-tjänster.

Utan att dyka allt för djupt i de juridiska delarna kring förhållandet mellan personuppgiftsansvariga och personuppgiftsbiträden, kan kortfattat sägas att det ur juridiskt hänseende, gentemot Datainspektionen och de individer som berörs av hanteringen av personuppgifterna, alltid är den juridiska personen (bolaget, stiftelsen, myndigheten, föreningen) som är personuppgiftsansvarig och därmed har det övergripande ansvaret för att hanteringen sker i enlighet med GDPR. Den personuppgiftsansvarige kan dock i sin tur ge i uppdrag åt ett exempelvis ett IT-företag att hantera personuppgifterna. Denna part blir då genom avtal ett så kallat personuppgiftsbiträde.

Avtalet kan även reglera att det kan finnas flera så kallade underbiträden i kedjan – många IT-tjänster levereras i dag via en ofta lång kedja av underleverantörer. Principen och reglerna för den typen av biträdesavtal är dock samma som för det vanliga biträdesavtalet. Och i slutändan är det som sagt du som personuppgiftsansvarig som har huvudansvaret för att din hantering av personuppgifter följer GDPR. Läs allt du behöver veta om personuppgiftsansvariga och personuppgiftsbiträden på Datainspektionens webbplats. (https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/personuppgiftsansvariga-och-personuppgiftsbitraden/)

I den här artikeln ska vi nu fokusera på en fråga som vi vet att många organisationer ställt sig under våren: hur påverkar GDPR vårt användande av externa molntjänster? Det finns två grundläggande saker som alla organisationer som hanterar personuppgifter via molntjänstleverantörer bör försäkra sig om – och som din leverantör måste kunna svara utförligt på:

Var finns era data?

Molnet är ju trots sitt namn inget faktiskt moln, utan alla data som hanteras och lagras i molntjänster finns förstås alltid fysiskt i ett eller flera datacenter, som dock kan vara placerade på en eller flera geografiskt åtskilda platser.

Ett av grundkraven i den nya förordningen är att EU-medborgares personuppgifter inte får ”lämna” EU/ESS rent fysiskt, annat än i undantagsfall och om det land där personuppgifterna lagras också efterlever de krav som GDPR ställer. Detta kräver i regel uttryckligt samtycke och tilläggsavtal som garanterar att personuppgifterna hanteras på samma sätt som inom EU. Det är med andra ord viktigt att veta exakt var personuppgifterna din organisation hanterar befinner sig – och det är den personuppgiftsansvarige som har på sitt bord att säkerställa att lagringen sker i enlighet med GDPR, och att biträden och underbiträden lever upp till kraven.

En annan viktig aspekt att ha i åtanke är, som vi nämnde i inledningen, huruvida din molnleverantör använder sig av en uppsjö underleverantörer – det är inte ovanligt att molnleverantörer ofta lämnar över behandlingen av uppgifterna till underleverantörer som i sin tur kanske har underleverantörer, och risknivån ökar givetvis ju fler aktörer som har ett finger med i spelet. Det kan också göra det svåröverskådligt att kontrollera exakt var och av vem dina data hanteras. I det läget, om du ändå vill fortsätta använda din huvudleverantör, bör du kräva att få säkerställt att även samtliga underleverantörer kan intyga att de följer GDPR och att de uppnår en lika hög grad av skydd som huvudleverantören. Detta ska utan undantag ingå i avtalet.
I det avtal du skriver med din leverantör (personuppgiftsbiträde) ska det enligt GDPR också regleras att personuppgiftsbiträdet:

• Enbart behandlar personuppgifter enligt vad som avtalats och dokumenterats.
• Säkerställer att alla som behandlar uppgifterna har åtagit sig att iaktta konfidentialitet.
• Upprätthåller en tillräckligt hög säkerhetsnivå både i sina rutiner och i den teknik som används.
• Låter den personuppgiftsansvarige godkänna eventuella underbiträden samt tecknar specifika biträdesavtal om biträde anlitas.
• Snabbt kan bistå den personuppgiftsansvarige när någon registrerad vill utnyttja sina rättigheter kring personuppgifter.
• Bistår den personuppgiftsansvarige kring säkerhetsfrågor, incidenter, dataintrång och andra skyldigheter som åläggs i GDPR.
• Raderar eller återför samtliga data vid avtalets upphörande.
• Är transparenta och alltid ger den personuppgiftsansvarige möjligheten att kontrollera att allt ovanstående följs och uppfylls.

Hur skyddas personuppgifterna?

I GDPR ställs som sagt betydligt strängare krav på snabb rapportering vid incidenter och förlust av data. Organisationer som utsätts för dataintrång eller som på något annat sätt förlorar kontrollen över de personuppgifter som hanteras, måste informera både de personer som berörs och tillsynsmyndigheten (Datainspektionen) inom 72 timmar. Detta gäller utan undantag om incidenten kan bedömas vara allvarlig och om den kan leda till att personer utsätts för till exempel diskriminering, id-stölder, bedrägerier eller finansiella förluster. Här gäller det givetvis att din molnleverantör kan säkerställa att de kan efterleva dessa krav, då det i slutändan är ditt ansvar gentemot Datainspektionen att så sker.

Detta kräver givetvis att den molnleverantör du väljer både håller adekvat skyddsnivå virtuellt och rent fysiskt i sina tjänster och i sina datacenter, men också att de har rutiner på plats för att snabbt kunna ingripa vid incidenter, och kunna dokumentera det som inträffat för att bistå dig på ett optimalt sätt. Därför bör de också kunna uppvisa hur de själva jobbar med att förankra säkerhetstänket i sin egen organisation och inte minst hos den personal som hanterar personuppgifter som du och andra kunder anförtrott dem med.

För Binero Group är informationssäkerhet något som genomsyrar hela vår organisation och samtliga våra åtaganden gentemot kunder. Detta gäller i högsta grad för vår IaaS-tjänst Binero.Cloud, och vi anser att det idag inte går att prata om IT-lösningar utan en säkerhetsaspekt. Vi är därför certifierade enligt ISO 27001, som är en kravställande standard för informationssäkerhet som syftar till att säkerställa att företag skyddar sin information på bästa sätt och kontinuerligt arbetar aktivt med ytterligare förbättringar.

Kortfattat är en ISO 27001-certifiering en bekräftelse på att en leverantör upprätthåller den standard för informationssäkerhet som de eftersträvar och att de har en säkerställd hög kompetens inom IT-säkerhetsområdet för alla anställda, samt att certifierade och oberoende IT-säkerhetsrevisorer utför granskningar av säkerhet och rutiner.

ISO 27001 täcker samtliga processer och aspekter av verksamheten, inklusive organisationsstyrningen, och är en kvalitetsstämpel för vårt starka fokus på informationssäkerhet och förmåga att kunna leverera säkra lösningar med hög tillgänglighet. Certifieringen underlättar för Binero Group att fortsätta arbeta med ännu mer dedikerade resurser för att förebygga risker och hot som vi som organisation och våra kunder ställs inför.

Vill Du veta mer om Binero.Cloud? Maila gärna info@binero.cloud för mer info.