Hur bör svenska företag reagera på avvisandet av Privacy Shield? Molnexperten svarar!

Ogiltigförklaringen av Privacy Shield har väckt många frågor bland svenska företag om hur man ska hantera nuvarande och framtida lagring av personuppgifter i molnet. Därför har vi frågat vår cloud-expert Victor Souza fem frågor, som ger konkreta tips på hur du, som ansvarig för IT-arkitektur, bör agera.

– Det största problemet just nu är de juridiska aspekterna. Eftersom GDPR är en bindande lag för alla EU-företag riskerar du att bryta mot lagen om du lagrar personuppgifter i amerikanska cloud-tjänster nu när Privacy Shield inte längre är tillgängligt som ett certifikat för godkänd skyddsnivå. Detta kan i sin tur få allvarliga ekonomiska konsekvenser i form av böter.

– För närvarande är den enda mekanismen som kan användas för att reglera överföringen av data från EU till USA en äldre mekanism kallad SCC (Standard Contractual Clauses). Så på kort sikt bör du främst göra en noggrann genomgång av var du för närvarande lagrar personuppgifter, vilka företag som har tillgång till dessa uppgifter, och sedan säkerställa att de omfattas av en SCC. På lång sikt bör du överväga hur du kan hitta en mer bæredygtig lösning för din datalagring. Du behöver ta hänsyn till att den juridiska maktkampen mellan USA och EU sannolikt inte kommer att avslutas inom de närmaste åren.

– Det enklaste svaret är: håll allt relaterat till personuppgifter inom EU. På så sätt kan du vara säker på att du har högsta skyddsnivå. Ta sedan fram ett väl genomtänkt kravställande, där cloud-leverantörens geografiska läge inom EU bör vara den första kvalifikationen. Ha i åtanke att det är företagets hemvist som räknas, inte datacentrets placering. Du kan sedan ställa krav på säkerhetsnivå, krypteringsmöjligheter, algoritmstyrka, hantering av konfidentialitet, etc.

Ur ett säkerhets- och personuppgiftshanteringsperspektiv är det bäst att använda en cloud-tjänsteleverantör baserad inom EU. Utöver det beror det något på mängden interna resurser och expertis som finns tillgänglig. Om du kan hantera komplexitet rekommenderar vi att använda olika cloud-tjänster baserat på deras styrkor, så kallade hybrida cloud-tjänster. Det finns många leverantörer på marknaden, som alla har områden de är bra på och områden som är mindre bra. Du får den bästa mixen genom att välja en cloud-tjänst och leverantör baserat på den specifika uppgiften som ska lösas. Om du är ett mindre företag med färre interna resurser skulle jag rekommendera att samla all data på en plats så långt det går. Detta undviker komplexitet.

– Det första tipset är att tänka långsiktigt. När det gäller lagring, kom ihåg att Cloud Act fortfarande gäller i USA och att deras politik fortsätter att luta mer åt massövervakning än dataintegritet. Så du behöver vara lite smart där! Tips två är att skissa upp en solid arkitektur. Få hjälp från din IT-avdelning eller en cloud-expert som har genomfört tidigare cloud-resor för att till exempel ta reda på hur många lager du behöver, vad som bör lagras var, vilka krav du har på prestanda och säkerhet, etc. Detta ger dig en bra och tydlig bild av vad du vill uppnå! Mitt tredje tips är att inte kasta allt i cloud på en gång. Ta det steg för steg. Börja med att flytta de enklaste delarna för att få några snabba vinster att visa upp inom organisationen. Gå sedan vidare till de delar som är lite svårare och har större prestandakrav. Det är ofta saker som behöver hanteras i realtid, som streaming, bild- eller databehandling. Spara det till sist!