Kuinka ruotsalaiset yritykset pitäisi reagoida Privacy Shieldin hylkäykseen? Pilviasiantuntija vastaa!

Privacy Shieldin kumoaminen on herättänyt monia kysymyksiä ruotsalaisten yritysten keskuudessa siitä, miten käsitellä nykyistä ja tulevaa henkilötietojen tallennusta pilvessä. Siksi kysyimme pilviasiantuntijaltamme Victor Souzalta viisi kysymystä, jotka tarjoavat konkreettisia vinkkejä siitä, miten sinun, IT-arkkitehtuurista vastaavana henkilönä, tulisi toimia.

– Tällä hetkellä suurin ongelma on oikeudelliset näkökohdat. Koska GDPR on sitova laki kaikille EU:n yrityksille, rikot lakia, jos tallennat henkilötietoja amerikkalaisiin pilvipalveluihin nyt, kun Privacy Shield ei enää toimi hyväksytyn suojatason sertifikaattina. Tämä voi puolestaan aiheuttaa vakavia taloudellisia seurauksia sakkojen muodossa.

– Tällä hetkellä ainoa mekanismi, jolla voidaan säädellä EU:sta Yhdysvaltoihin tapahtuvaa tiedonsiirtoa, on vanhempi mekanismi nimeltä SCC (Standard Contractual Clauses). Joten lyhyellä tähtäimellä sinun tulisi ensisijaisesti tehdä perusteellinen tarkastelu siitä, mihin tällä hetkellä tallennat henkilötietoja, mitkä yritykset pääsevät niihin tietoihin käsiksi, ja varmistaa sitten, että ne on katettu SCC:llä. Pitkällä aikavälillä sinun tulisi harkita, miten voit löytää kestävämmän ratkaisun tietojesi tallentamiseen. Sinun täytyy ottaa huomioon, että Yhdysvaltojen ja EU:n välinen oikeudellinen valtataistelu ei todennäköisesti pääty seuraavien vuosien aikana.

– Yksinkertaisin vastaus on: pidä kaikki henkilötietoihin liittyvä EU:n sisällä. Näin voit olla varma, että sinulla on korkein suojelutaso. Laadi sitten hyvin harkittu vaatimuspaketti, jossa pilvipalveluntarjoajan maantieteellinen sijainti EU:n sisällä pitäisi olla ensimmäinen kriteeri. Muista, että yrityksen kotipaikka on olennaista, ei datakeskuksen sijainti. Voit sitten asettaa vaatimuksia turvallisuustasolle, salausvaihtoehdoille, algoritmin vahvuudelle, luottamuksellisuuden hallinnalle jne.

Turvallisuuden ja henkilötietojen hallinnan näkökulmasta on parasta käyttää EU:hun perustuvaa pilvipalveluntarjoajaa. Sen jälkeen riippuu jonkin verran käytettävissä olevista sisäisistä resursseista ja asiantuntemuksesta. Jos pystyt hallitsemaan monimutkaisuutta, suosittelemme hyödyntämään erilaisia pilvipalveluita niiden vahvuuksien perusteella, ns. hybridipilvipalveluita. Markkinoilla on monia tarjoajia, joilla kaikilla on vahvuusalueita sekä heikompia alueita. Saat parhaan seoksen valitsemalla pilvipalvelun ja tarjoajan tietyn tehtävän ratkaisemiseen. Jos olet pienempi yritys, jolla on vähemmän sisäisiä resursseja, suosittelisin keräämään kaikki tiedot mahdollisimman paljon yhteen paikkaan. Tämä välttää monimutkaisuutta.

– Ensimmäinen vinkki on ajatella pitkäjänteisesti. Tallennuksen osalta pidä mielessä, että Cloud Act on edelleen voimassa Yhdysvalloissa ja että heidän politiikkansa kallistuvat enemmän massavalvonnan kuin tietojen eheyden puolelle. Sinun täytyy siis olla siellä hieman fiksu! Toinen vinkki on hahmotella vankka arkkitehtuuri. Hanki apua IT-osastoltasi tai pilviasiantuntijalta, joka on suorittanut aiempia pilvireissuja, selvittääksesi esimerkiksi, kuinka monta tasoa tarvitset, mitä tietoja pitäisi tallentaa mihin, mitkä ovat suorituskyky- ja turvallisuusvaatimuksesi jne. Tämä antaa sinulle hyvän ja selkeän kuvan siitä, mitä haluat saavuttaa! Kolmas vinkkini on olla tuomatta kaikkea pilveen kerralla. Ota se askel kerrallaan. Aloita siirtämällä helpoimmat osat saadaksesi nopeita voittoja organisaation sisällä. Siirry sitten hieman vaikeampiin osiin, joilla on suuremmat suorituskykyvaatimukset. Nämä ovat usein asioita, jotka pitää käsitellä reaaliajassa, kuten suoratoisto, kuva- tai datankäsittely. Jätä tämä viimeiseksi!