Ugyldiggjøringen av Privacy Shield har reist mange spørsmål blant svenske selskaper om hvordan de skal håndtere nåværende og fremtidig lagring av personopplysninger i skyen. Derfor har vi stilt vår skyeekspert Victor Souza fem spørsmål som gir konkrete tips om hvordan du som ansvarlig for IT-arkitekturen bør handle.
Hvilke problemer står svenske selskaper overfor nå som Privacy Shield er blitt ugyldiggjort?
– Det største problemet akkurat nå er de juridiske aspektene. Siden GDPR er en bindende lov for alle EU-selskaper, risikerer du å bryte loven hvis du lagrer personopplysninger i amerikanske skytjenester nå som Privacy Shield ikke lenger er tilgjengelig som sertifikat for godkjent beskyttelsesnivå. Dette kan igjen få alvorlige økonomiske konsekvenser i form av bøter.
Hvordan bør selskaper som begynte sin overgang til skyen før Privacy Shield ble ugyldiggjort, gå frem?
– For øyeblikket er den eneste mekanismen som kan brukes til å regulere overføring av data fra EU til USA en eldre mekanisme kalt SCC (Standard Contractual Clauses). På kort sikt bør du derfor først og fremst gjennomføre en grundig gjennomgang av hvor du lagrer personopplysninger, hvilke selskaper som har tilgang til disse opplysningene, og deretter sikre at de er dekket av en SCC. På lang sikt bør du vurdere hvordan du kan finne en mer bærekraftig løsning for datalagringen din. Du må ta hensyn til at den juridiske maktkampen mellom USA og EU neppe vil ta slutt i løpet av de neste årene.
Hva er din anbefaling til bedrifter som planlegger å begynne sin reise mot skyen i løpet av de neste seks månedene?
– Det enkleste svaret er: hold alt som har med personopplysninger å gjøre innenfor EU. På den måten kan du være sikker på at du har det høyeste nivået av beskyttelse. Deretter utarbeider du et gjennomtenkt sett med krav, hvor cloudleverandørens geografiske beliggenhet innenfor EU bør være det første kvalifikasjonskriteriet. Husk at det er selskapets hjemsted som teller, ikke datacentrets beliggenhet. Deretter kan du sette krav til sikkerhetsnivå, krypteringsalternativer, algoritmestyrke, konfidensialitetshåndtering osv.
Hvordan bør man tilnærme seg cloud mix – hvilke data bør lagres hvor for å oppnå en teknisk god løsning som samtidig overholder gjeldende regelverk?
Fra et sikkerhets- og personopplysningsperspektiv er det best å bruke en skytjenesteleverandør med base i EU. Utover det avhenger det noe av mengden interne ressurser og ekspertise som er tilgjengelig. Hvis du er i stand til å håndtere kompleksitet, anbefaler vi å bruke forskjellige skytjenester basert på deres styrker, kjent som hybridskytjenester. Det finnes mange leverandører på markedet, og alle har områder de er gode på og områder de er mindre gode på. Du får den beste kombinasjonen ved å velge en skytjeneste og leverandør basert på den spesifikke oppgaven som skal løses. Hvis du er et mindre selskap med færre interne ressurser, vil jeg anbefale å samle alle data på ett sted så langt det er mulig. Dette unngår kompleksitet.
Til slutt, hva er dine tre beste tips for en vellykket skystrategi?
– Det første tipset er å tenke langsiktig. Når det gjelder lagring, må du huske at Cloud Act fortsatt er i kraft i USA, og at deres politikk fortsatt vil være mer rettet mot masseovervåking enn dataintegritet. Så her må du være litt smart! Tips nummer to er å skisse opp en solid arkitektur. Få hjelp fra IT-avdelingen eller en skyeekspert som har gjennomført tidligere skyprosjekter for å finne ut for eksempel hvor mange lag du trenger, hvilke data som skal lagres hvor, hva dine ytelses- og sikkerhetskrav er osv. Dette vil gi deg et godt og klart bilde av hva du ønsker å oppnå! Mitt tredje tips er å ikke kaste alt inn i skyen på en gang. Ta ett skritt av gangen. Begynn med å flytte de enkleste delene for å oppnå noen raske gevinster som du kan vise frem i organisasjonen. Gå deretter videre til delene som er litt vanskeligere og har større ytelseskrav. Dette er ofte ting som må håndteres i sanntid, for eksempel streaming, bilde- eller databehandling. Spar dette til sist!
