The repeal of Privacy Shield has raised many questions among Swedish companies about how current and future storage of personal data in cloud services should be handled. That is why we have asked cloud services expert Victor Souza five questions, and he provides concrete tips on how those responsible for IT architecture should proceed.
Mitä ongelmia ruotsalaisille yrityksille aiheutuu Privacy Shieldin kumoamisesta?
– Suurin ongelma liittyy tällä hetkellä juridisiin näkökohtiin. Koska GDPR on kaikkia EU-yrityksiä sitova laki, saatat rikkoa lakia, jos tallennat henkilötietoja yhdysvaltalaisiin pilvipalveluihin, kun Privacy Shield -sertifikaattia ei ole enää olemassa hyväksytyn suojan tason todistuksena. Tämä puolestaan voi aiheuttaa vakavia taloudellisia seurauksia sakkojen muodossa.
Miten yritysten, jotka ovat aloittaneet pilvipalvelujen käytön ennen Privacy Shieldin kumoamista, tulisi toimia jatkaakseen toimintaansa?
– Tällä hetkellä ainoa keino säännellä tietojen siirtoa EU:sta Yhdysvaltoihin on vanhempi mekanismi, joka tunnetaan nimellä SCC (Standard Contractual Clauses). Joten lyhyellä aikavälillä sinun tulisi ensinnäkin kartoittaa huolellisesti, missä säilytätte henkilötietoja tällä hetkellä, mitkä yritykset pääsevät käsiksi näihin tietoihin, ja varmistaa, että ne kuuluvat SCC:n piiriin. Pitkällä aikavälillä sinun tulisi miettiä, miten voisit löytää kestävämmän ratkaisun tietojen tallennukselle. Sinun on otettava huomioon, että Yhdysvaltojen ja EU:n välinen oikeudellinen valtataistelu ei todennäköisesti pääty lähivuosina.
Mitä suosittelet yrityksille, jotka aikovat aloittaa pilvipalvelujen käytön lähikuukausina?
– Helpoin vastaus on: säilytä kaikki henkilötietoihin liittyvä EU:n sisällä. Näin varmistat, että sinulla on korkein suojataso. Laadi sitten huolellisesti vaatimukset, joissa pilvipalveluntarjoajan maantieteellinen sijainti EU:n alueella on ensimmäinen kelpoisuusehto. Muista, että ratkaisevaa on yrityksen kotipaikka, ei datakeskuksen sijainti. Sen jälkeen voit asettaa vaatimuksia turvallisuustasolle, salausmahdollisuuksille, algoritmien vahvuudelle, tietosuojakäytännöille jne.
Miten pitäisi ajatella pilvipalvelujen yhdistelmää – mitä tietoja pitäisi tallentaa minne, jotta saadaan teknisesti hyvä ratkaisu ja samalla noudatetaan voimassa olevia säännöksiä?
– Turvallisuuden ja henkilötietojen käsittelyn kannalta on parasta kääntyä EU:ssa sijaitsevan pilvipalveluntarjoajan puoleen. Sen lisäksi se riippuu hieman siitä, kuinka paljon sisäisiä resursseja ja osaamista on käytettävissä. Jos pystytte käsittelemään monimutkaisia asioita, suosittelemme hyödyntämään erilaisia pilvipalveluja niiden vahvuuksien perusteella, eli niin sanottuja hybridipilvipalveluja. Markkinoilla on monia palveluntarjoajia, joilla kaikilla on alueita, joissa ne ovat hyviä, ja alueita, joissa ne ovat vähemmän hyviä. Paras yhdistelmä saadaan valitsemalla pilvipalvelu ja palveluntarjoaja sen perusteella, mikä erityistehtävä on ratkaistava. Jos olette pienempi yritys, jolla on vähemmän sisäisiä resursseja, suosittelisin kokoamaan kaikki tiedot samaan paikkaan niin pitkälle kuin mahdollista. Näin vältytään monimutkaisuudelta.
Lopuksi, mitkä ovat kolme parasta vinkkiäsi onnistuneeseen pilvistrategiaan?
– Ensimmäinen vinkki on ajatella pitkällä tähtäimellä. Tallennuksen osalta on syytä muistaa, että Cloud Act on edelleen voimassa Yhdysvalloissa ja että heidän politiikkansa painottuu edelleen enemmän massavalvontaan kuin tietosuojaan. Joten tässä asiassa kannattaa olla hieman ovela! Toinen vinkki on luoda vankka arkkitehtuuri. Käytä apuna IT-osastoa tai pilvipalvelujen asiantuntijaa, joka on aiemmin toteuttanut pilvipalvelujen käyttöönottoja, selvittääksesi esimerkiksi, kuinka monta kerrosta tarvitset, mitkä tiedot tallennetaan minne, mitkä ovat suorituskykyä ja turvallisuutta koskevat vaatimuksesi jne. Näin saat hyvän ja selkeän kuvan siitä, mitä haluat saavuttaa! Kolmas vinkkini on, että älä heitä kaikkea kerralla pilvipalveluun. Etene askel askeleelta. Aloita siirtämällä helpoimmat osat, jotta saat muutamia ”nopeita voittoja” esiteltäväksi organisaatiossa. Siirry sitten osioihin, jotka ovat hieman vaikeampia ja vaativat enemmän suorituskykyä. Kyse on usein asioista, jotka on käsiteltävä reaaliajassa, kuten suoratoisto, kuvien tai tietojen käsittely. Säästä nämä viimeiseksi!
