Hvilke personvernkonsekvenser innebærer bruk av sky-tjenester / sky-apper?

Amesto Firstpoint svarer:

Hvilke personvernkonsekvenser er det ved bruk av sky-tjenester/sky-apper?

Hvilke personvernkonsekvenser er det ved bruk av sky-tjenester / sky-apper?

Amesto Firstpoint svarer:

Hvilke personvernkonsekvenser er det ved bruk av sky-tjenester/sky-apper?

Hvilke personvernkonsekvenser er det ved bruk av sky-tjenester / sky-apper?

4
apr

av Ana Rita Silva

Personvernkonsekvenser ved bruk av sky-tjenester

5 personverntiltak du bør gjennomføre ved flytting til skyen

Skytjenester har i de siste årene etablert seg som et reelt og positivt alternativ på maskinvare, applikasjons-, og datalagringsnivå, men for mange virksomheter er det fortsatt aspekter av skyløsninger som forblir et spørsmåltegn. Noen undervurderer eget ansvar og lovkrav som stilles, mens andre nøler med å ta steget mot skyen. Her finner du informasjon om noen av de viktigste aspektene du må ha kontroll over.

Skytjenester eller ikke?

Ved å flytte dine IT-løsninger til skyen, er det mange fordeler du kan umiddelbart dra nytte av:

  • Kostnadsbesparing knyttet til redusert IKT-infrastruktur og software, samt energibesparing.
  • Bedre informasjonssikkerhet, som en følge av sterkere informasjonssikkerhetstiltak, rutiner og overvåking av systemer og bredere ekspertise innen IT.
  • Enklere muligheter for tilpasning til din virksomhets behov.

Så, hva innebærer flytting i henhold til GDPR og den nye personopplysningsloven?

 

5 tiltak du må være klar over når du bestemmer deg for flytting til skyen

 

1. Finn ut hvor din skytjenesteleverandør og dens databehandlere behandler eller lagrer data.

Hvis din tilbyder eller dens databehandlere lagrer eller behandler personopplysninger på dine vegne utenfor EU/EØS, trenger du å sikre at det er på plass et beskyttelsesnivå som er tilstrekkelig for å verne personers rettigheter, friheter og interesser. Det er viktig derfor å sikre at all nødvendig dokumentasjon er på plass og alle nødvendige og avtalte tiltak gjennomføres.

2. Utred ditt behov for sikkerhet og sørg for at tiltakene på plass er egnet risikobildet

Adopsjon av skyløsninger innebærer at all eller en del kritisk informasjon blir lagret eller behandlet utenfor din virksomhets systemer. Personopplysninger er kun en type informasjon du må passe på. Annen virksomhetskritisk informasjon omfatter finansielle informasjon, forretningshemmelig informasjon, osv.

Når du engasjerer en skytjenesteleverandør, er derfor viktig å stille et par spørsmål:

  • Hvordan skal vi håndtere sikkerhet?
  • Skal en del av sikkerhetstiltak håndteres internt eller skal alt håndteres av din leverandør?
  • Hvordan skal vi samarbeide for å oppdage avvik og brudd og hvordan kan vi støtte hverandre for å sikre at god sikkerhetspraksis overholdes?

Husk at ansvaret hviler på deg, så du er en sterkt interessert i at dette diskuteres.

3. Overhold de grunnleggende personvernprinsippene

Dette punktet er ikke eksklusiv til skyløsninger, men er utrolig relevant uansett. Hvis applikasjoner eller systemer du ønsker å flytte til skyen inneholder personopplysninger, må du sikre deg i tillegg at:

  • Du kun samler inn data du trenger for å oppnå ditt formål.
  • At dataene ikke lagres lenger enn det trengs.
  • At datenene ikke brukes for andre formål enn det de ble innsamlet for opprinnelig, inkludert av din app- eller skytjenesteleverandør.

Informasjon som må gis de registrerte om utførte behandlinger, varsling av tilsynsmyndighet og underretning av berørt registrerte ved brudd er også ditt ansvar.

Husk også at din tilbyder må kunne levere løsninger som overholder innebygd personvernkrav. Det betyr at design eller standardinnstillinger er så personvernvennlige som mulig.
Dine applikasjoners etterlevelse av personvernkrav er viktig, men det er også hvordan du bruker disse ‘verktøyene’ og hvilke data du velger å behandle i dem.

4. Dokumentering for å påvise etterlevelse av krav

Dette er punktet i GDPR som mange lurer på hva det egentlig innebærer for egen virksomhet i praksis. Det er ikke nok å gjøre det riktig, du må kunne påvise hvordan du egentlig gjør det og må derfor dokumentere prosesser og rutiner. Dette gjelder uansett om dine applikasjoner ligger i skyen eller ikke. 
Det viktigste i dette arbeidet er at du tar en helhetlig tilnærming:
  • Begynn med å beskrive dine mål i forbindelse med personvern og hvordan det knyttes til dine driftsmål.
  • Sett opp rammer som ønskes alle skal forholde seg til.
  • Identifiser risiko og dokumenter risikovurderinger.
  • Skriv ned de viktigste rutinene – eks. hvordan dere håndterer brudd og forespørsler fra de registrerte. 
Har du god oversikt over dataflyt og egne behandlingsaktiviteter, blir dette raskere og lettere. Personvernarbeidet er pågående, det er alltid plass for forbedring. Bygg på det dere allerede har på plass og involver dine medarbeidere. Forklar hvorfor personvern er viktig – og nei, det er ikke bøter du bør være redd for, men for å miste omdømme, egne kunder og talenter.
 

5. I, K, T – Integritet, Konfidensialitet og Tilgjengelighet

Dette er en del av det sikkerhetsemnet vi allerede skrev om, men det er verdt egen plass.
Når du setter opp ditt miljø i skyen, vær oppmerksom på at:

  • Kommunikasjon og overføringer av data er adekvat beskyttet. 
  • At tilgang til data er rolle- og behovsbasert.
  • Kryptering og aggregering av data utføres når mulig.
  • Logger samles og revideres regelmessig.
  • Hendelser registreres, granskes og følges opp.
  • Risikoreduserende tiltak dokumenteres

Og ikke glem…

Gi dine medarbeidere nødvendig opplæring, slik at de aktivt kan bidra til personvernarbeidet!

Har du spørsmål vedrørende personvern kan du bestille en uforpliktende konsultasjon av en av våre personvern konsulenter.

Bestill gratis konsultasjon av personvernekspert

Ana Rita Silva

Ana Rita Silva

Data Protection Consultant
Amesto Firstpoint

Blir du klar til Flyttedagen?

Norske bedrifter av alle størrelser omfavner skyen i raskt tempo. En undersøkelse Infact gjorde mot 200 ledere i små og mellomstore bedrifter i januar 2019, viser at 15 prosent skal flytte regnskaps- og driftssystemer til skyen i løpet av året. Er du en av dem?
bestill gratis flyttetest

«Skyen er sikrere enn datarommet ditt»

Sikkerhet er blant hovedgrunnene til å velge drift i nettskyen. Dette i følge norske bedriftsledere og anerkjente sikkerhetseksperter.
Les mer

5 fordeler med drift av regnskap og lønn i skyen

Flytting av applikasjoner som regnskap, kundehåndtering (CRM) og lønn til infrastruktur i nettskyen er en tydelig trend. Bransjeanalytikerne i Gartner estimerte at markedet for skydrift av programvare vokste hele 36 prosent i 2018. Andre eksperter mener veksten var større, og i Norge er lederne foran...
Les mer