Ugyldiggørelsen af Privacy Shield har rejst mange spørgsmål blandt svenske virksomheder om, hvordan de skal håndtere nuværende og fremtidig opbevaring af personoplysninger i skyen. Derfor har vi stillet vores cloud-ekspert Victor Souza fem spørgsmål, som giver konkrete tips til, hvordan du som ansvarlig for IT-arkitekturen bør handle.
Hvilke problemer står svenske virksomheder over for nu, hvor Privacy Shield er blevet ugyldiggjort?
– Det største problem lige nu er de juridiske aspekter. Da GDPR er en bindende lov for alle EU-virksomheder, risikerer du at overtræde loven, hvis du gemmer personlige data i amerikanske cloud-tjenester, nu hvor Privacy Shield ikke længere er tilgængeligt som et certifikat for godkendt beskyttelsesniveau. Dette kan igen have alvorlige økonomiske konsekvenser i form af bøder.
Hvordan skal virksomheder, der påbegyndte deres cloud-rejse, før Privacy Shield blev ugyldiggjort, forholde sig?
– På nuværende tidspunkt er den eneste mekanisme, der kan bruges til at regulere overførslen af data fra EU til USA, en ældre mekanisme kaldet SCC (Standard Contractual Clauses). På kort sigt bør du derfor først og fremmest foretage en grundig gennemgang af, hvor du i øjeblikket opbevarer personoplysninger, hvilke virksomheder der har adgang til disse oplysninger, og derefter sikre, at de er omfattet af en SCC. På lang sigt bør du overveje, hvordan du kan finde en mere bæredygtig løsning til din datalagring. Du skal tage højde for, at den juridiske magtkamp mellem USA og EU sandsynligvis ikke vil ende i de kommende år.
Hvad er din anbefaling til virksomheder, der planlægger at påbegynde deres cloud-rejse inden for de næste seks måneder?
– Det nemmeste svar er: Hold alt, der har med personoplysninger at gøre, inden for EU. På den måde kan du være sikker på at have det højeste beskyttelsesniveau. Udarbejd derefter et gennemtænkt sæt krav, hvor cloududbyderens geografiske placering inden for EU skal være det første kvalifikationskriterium. Husk, at det er virksomhedens hjemsted, der er afgørende, ikke datacentrets placering. Derefter kan du fastsætte krav til sikkerhedsniveau, krypteringsmuligheder, algoritmestyrke, fortrolighedsstyring osv.
Hvordan skal man gribe cloud mix an – hvilke data skal lagres hvor for at opnå en teknisk velfungerende løsning, der samtidig overholder gældende regler?
Ud fra et sikkerheds- og persondataadministrationsperspektiv er det bedst at bruge en cloududbyder med base i EU. Derudover afhænger det i nogen grad af mængden af interne ressourcer og ekspertise, der er til rådighed. Hvis du er i stand til at håndtere kompleksitet, anbefaler vi at bruge forskellige cloudtjenester baseret på deres styrker, også kaldet hybrid cloudtjenester. Der er mange udbydere på markedet, som alle har områder, de er gode til, og områder, de er mindre gode til. Du får den bedste kombination ved at vælge en cloud-tjeneste og udbyder baseret på den specifikke opgave, der skal løses. Hvis du er en mindre virksomhed med færre interne ressourcer, vil jeg anbefale at samle alle data ét sted så vidt muligt. Dette undgår kompleksitet.
Til sidst, hvad er dine tre bedste tips til en vellykket cloud-strategi?
– Det første tip er at tænke langsigtet. Når det kommer til opbevaring, skal du huske, at Cloud Act stadig er i kraft i USA, og at deres politikker fortsat vil være mere orienteret mod masseovervågning end dataintegritet. Så du skal være lidt smart på det punkt! Tip nummer to er at skitsere en solid arkitektur. Få hjælp fra din IT-afdeling eller en cloud-ekspert, der har gennemført tidligere cloud-rejser, til at finde ud af, hvor mange lag du har brug for, hvilke data der skal lagres hvor, hvad dine krav til ydeevne og sikkerhed er osv. Dette vil give dig et godt og klart billede af, hvad du vil opnå! Mit tredje tip er ikke at smide alt i skyen på én gang. Tag det et skridt ad gangen. Start med at flytte de nemmeste dele for at opnå nogle hurtige gevinster, som du kan vise frem i organisationen. Gå derefter videre til de dele, der er lidt sværere og har større krav til ydeevne. Det er ofte ting, der skal håndteres i realtid, såsom streaming, billed- eller databehandling. Gem dette til sidst!
