Privacy Shields ogiltigförklarande har väckt många frågetecken hos svenska företag angående hur man ska hantera nuvarande och framtida lagring av personuppgifter i molnet. Därför har vi ställt 5 frågor till vår Cloud-expert Victor Souza som ger konkreta tips på hur du som ansvarar för IT-arkitektur bör agera.
Vilka problem står svenska företag inför i och med att Privacy Shield ogiltigförklarats?
– Det största problemet handlar just nu om de juridiska aspekterna. I och med att GDPR är en bindande lag för alla EU-företag riskerar du att bryta mot lagen ifall du lagrar personuppgifter i amerikanska molntjänster nu när inte Privacy Shield finns som ett intyg på godkänd skyddsnivå. Det i sin tur kan få allvarliga finansiella konsekvenser i form av böter.
Hur bör företag som påbörjat sin molnresa innan Privacy Shield ogiltigförklarades agera för att komma vidare?
– För tillfället är det enda som kan användas för att reglera överföring av data från EU till USA en äldre mekanism som kallas SCC (Standard Contractual Clauses). Så på kort sikt bör du först och främst genomföra en noggrann kartläggning över var ni lagrar persondata idag, vilka företag som har tillgång till den datan och sedan säkerställa att dessa täcks av en SCC. På lång sikt bör du fundera på hur ni kan hitta en mer hållbar lösning för er datalagring. Ni behöver ta i beaktande att den juridiska maktkamp som pågår mellan USA och EU förmodligen inte kommer att ta slut inom de närmsta åren.
Vad är din rekommendation till företag som planerar att påbörja sin molnresa under det närmsta halvåret?
– Det lättaste svaret är: behåll allt som har med persondata att göra inom EU. Då ser du till att du har den högsta skyddsnivån. Gör sedan en genomtänkt kravställning där molnleverantörens geografiska placering inom EU bör vara en första kvalificering. Tänk på att det är bolagets hemvist som avgör, inte datacentrets placering. Därefter kan du ställa krav på säkerhetsnivå, möjligheter till kryptering, styrka på algoritmer, sekretesshantering, o.s.v.
Hur ska man tänka vad gäller molnmix – vilken data bör man lagra var för att få till en tekniskt bra lösning och samtidigt följa rådande regelverk?
– Ur säkerhetssynpunkt och personuppgiftshantering är det som sagt bäst att vända sig till en molntjänstleverantör med hemvist inom EU. Utöver det beror det lite på hur mycket interna resurser och kompetens som finns. Klarar ni av att hantera komplexitet är rekommendationen att nyttja olika molntjänster utifrån deras styrkor, så kallad hybrid cloud services. Det finns många leverantörer på marknaden som alla har områden de är bra på och områden de är mindre bra på. Bäst mix får du genom att välja molntjänst och leverantör utifrån den specifika uppgiften som ska lösas. Är ni ett mindre företag med färre interna resurser skulle jag rekommendera att samla all data på samma ställe så långt som det är möjligt. Då undviker man komplexiteten.
Slutligen, vad är dina bästa tre tips för en lyckad molnstrategi?
– Det första tipset är att tänka långsiktigt. Vad gäller lagring bör du ha i åtanke att Cloud Act fortfarande är i kraft i USA och att deras policys kommer fortsätta luta mer åt massövervakning än dataintegritet. Så där bör du vara lite smart! Tips två är att skissa fram en solid arkitektur. Ta hjälp av er IT-avdelning eller en cloud-expert som har genomfört tidigare molnresor för att reda ut t.ex. hur många lager ni behöver, vilken data som ska lagras var, vilka krav ni har gällande prestanda och säkerhet, m.m. Då får ni en bra och tydlig bild över vad ni vill åstadkomma! Mitt tredje tips är att inte slänga upp allt i molnet på en gång. Ta ett steg i taget. Börja flytta över de lättaste delarna för att få några ”quick wins” att visa inom organisationen. Gå sedan på de delarna som är lite svårare och har större krav på prestanda. Det handlar ofta om saker som måste hanteras i realtid, t.ex. streaming, bild- eller dataprocessing. Spara detta till sist!