Hvordan bør svenske selskaper svare på avvisningen av Privacy Shield? Cloud-eksperten svarer!

Ugyldiggjøringen av Privacy Shield har reist mange spørsmål blant svenske selskaper om hvordan de skal håndtere nåværende og fremtidig lagring av personopplysninger i skyen. Derfor har vi stilt våre cloud-ekspert Victor Souza fem spørsmål, som gir konkrete tips om hvordan du, som ansvarlig for IT-arkitektur, bør handle.

– Det største problemet akkurat nå er de juridiske aspektene. Siden GDPR er en bindende lov for alle EU-selskaper, risikerer man å bryte loven hvis man lagrer personopplysninger i amerikanske cloud-tjenester nå som Privacy Shield ikke lenger er tilgjengelig som et sertifikat på godkjent beskyttelsesnivå. Dette kan igjen få alvorlige økonomiske konsekvenser i form av bøter.

– Per nå er den eneste mekanismen som kan brukes for å regulere overføring av data fra EU til USA en eldre mekanisme kalt SCC (Standard Contractual Clauses). Så, på kort sikt bør du først og fremst gjennomføre en grundig gjennomgang av hvor du lagrer personopplysninger i dag, hvilke selskaper som har tilgang til disse dataene, og deretter sikre at de er dekket av en SCC. På lang sikt bør du vurdere hvordan du kan finne en mer bærekraftig løsning for datalagringen din. Du må ta i betraktning at den juridiske maktkampen mellom USA og EU sannsynligvis ikke vil ende de neste årene.

– Det enkleste svaret er: hold alt som har med personopplysninger å gjøre innenfor EU. På den måten kan du være sikker på at du har det høyeste beskyttelsesnivået. Lag deretter et godt gjennomtenkt sett med krav, hvor cloud-leverandørens geografiske plassering innen EU bør være den første kvalifikasjonen. Husk at det er selskapets domicili som teller, ikke plasseringen av datasenteret. Du kan deretter sette krav til sikkerhetsnivå, krypteringsmuligheter, algoritmestyrke, konfidensialitetshåndtering osv.

Fra et sikkerhets- og persondatabehandlingsperspektiv er det best å bruke en cloud-tjenesteleverandør basert i EU. Utover det avhenger det noe av mengden interne ressurser og kompetanse tilgjengelig. Hvis du er i stand til å håndtere kompleksitet, anbefaler vi å benytte forskjellige cloud-tjenester basert på deres styrker, kjent som hybride cloud-tjenester. Det finnes mange leverandører på markedet, alle med områder de er gode på og områder de er mindre gode på. Du får den beste miks ved å velge en cloud-tjeneste og leverandør basert på den spesifikke oppgaven som skal løses. Hvis du er et mindre selskap med færre interne ressurser, vil jeg anbefale å samle all data på ett sted så langt det lar seg gjøre. Dette unngår kompleksitet.

– Det første tipset er å tenke langsiktig. Når det gjelder lagring, husk at Cloud Act fortsatt er i kraft i USA, og at deres politikk fortsatt vil lene mer mot masseovervåkning enn dataintegritet. Så du må være litt smart der! Tips to er å skissere en solid arkitektur. Få hjelp fra din IT-avdeling eller en cloud-ekspert som har fullført tidligere cloud-reiser for å finne ut, for eksempel, hvor mange lag du trenger, hvilken data som bør lagres hvor, hva dine ytelses- og sikkerhetskrav er, osv. Dette vil gi deg et godt og tydelig bilde av hva du ønsker å oppnå! Mitt tredje tips er å ikke kaste alt inn i skyen på en gang. Ta det ett steg av gangen. Start med å flytte de enkleste delene for å få noen raske seire å vise til i organisasjonen. Deretter går du videre til de delene som er litt mer kompliserte og har større ytelseskrav. Dette er ofte ting som må håndteres i sanntid, slik som streaming, bilde- eller databehandling. Spar dette til slutt!