Hvordan bør svenske virksomheder reagere på afvisningen af Privacy Shield? Cloud-eksperten svarer!

Invalidationen af Privacy Shield har rejst mange spørgsmål blandt svenske virksomheder om, hvordan man håndterer nuværende og fremtidig opbevaring af persondata i cloud-løsninger. Derfor har vi stillet vores cloud-ekspert Victor Souza fem spørgsmål, som giver konkrete tips til, hvordan du som ansvarlig for IT-arkitektur bør agere.

– Det største problem lige nu er de juridiske aspekter. Da GDPR er en bindende lov for alle EU-virksomheder, risikerer du at overtræde loven, hvis du opbevarer persondata i amerikanske cloud-løsninger nu, hvor Privacy Shield ikke længere er tilgængelig som et certifikat for godkendt beskyttelsesniveau. Dette kan igen have alvorlige økonomiske konsekvenser i form af bøder.

– På nuværende tidspunkt er den eneste mekanisme, der kan bruges til at regulere overførsel af data fra EU til USA, en ældre mekanisme kaldet SCC (Standard Contractual Clauses). Så på kort sigt bør du først og fremmest gennemføre en grundig gennemgang af, hvor du aktuelt gemmer persondata, hvilke virksomheder der har adgang til disse data, og derefter sikre, at de er dækket af en SCC. På lang sigt bør du overveje, hvordan du kan finde en mere bæredygtig løsning til din dataopbevaring. Du skal tage højde for, at den juridiske magtkamp mellem USA og EU sandsynligvis ikke slutter inden for de næste par år.

– Det enkleste svar er: hold alt, der vedrører persondata, inden for EU. På den måde kan du være sikker på, at du har det højeste beskyttelsesniveau. Udarbejd derefter et velovervejet kravsæt, hvor cloud-leverandørens geografiske placering inden for EU skal være den første kvalifikation. Husk, at det er virksomhedens hjemsted, der betyder noget, ikke datacenterets lokation. Du kan derefter stille krav til sikkerhedsniveau, krypteringsmuligheder, algoritmestyrke, fortrolighedsstyring osv.

Set fra et sikkerheds- og persondatastyringsperspektiv er det bedst at bruge en cloud-udbyder, der er baseret i EU. Udover det afhænger det noget af mængden af interne ressourcer og ekspertise til rådighed. Hvis du er i stand til at håndtere kompleksitet, anbefaler vi at benytte forskellige cloud-tjenester baseret på deres styrker, kendt som hybride cloud-tjenester. Der findes mange udbydere på markedet, alle med områder de er gode til og områder, hvor de er mindre gode. Du får den bedste blanding ved at vælge en cloud-tjeneste og udbyder baseret på den specifikke opgave, der skal løses. Hvis du er en mindre virksomhed med færre interne ressourcer, vil jeg anbefale at samle alle data ét sted så vidt muligt. Det undgår kompleksitet.

– Det første tip er at tænke langsigtet. Når det kommer til opbevaring, husk at Cloud Act stadig er gældende i USA, og at deres politikker fortsat vil tendere mere mod masseovervågning end dataintegritet. Så du skal være lidt smart der! Tip to er at skitsere en solid arkitektur. Få hjælp fra din IT-afdeling eller en cloud-ekspert, der har gennemført tidligere cloud-rejser, for at regne ud for eksempel, hvor mange lag du har brug for, hvilken data der skal gemmes hvor, hvad dine performance- og sikkerhedskrav er osv. Dette vil give dig et godt og klart billede af, hvad du vil opnå! Mit tredje tip er ikke at kaste alt i cloud’en på én gang. Tag det ét skridt ad gangen. Start med at flytte de letteste dele for at opnå nogle hurtige succeser, som du kan vise i organisationen. Derefter gå videre til de lidt mere vanskelige dele med større performance-krav. Det er ofte ting, der skal håndteres i realtid, såsom streaming, billed- eller databehandling. Gem dette til sidst!