Privacy Shield

GDPR fokuserar på individens rätt

GDPR:s främsta uppgift är att säkerställa alla EU-medborgares rättsliga dataskydd samt individens rätt till sitt privatliv och kontrollen över sin egen data. Det syftar också till att reglera hur personuppgifter får överföras inom och utanför EU. Dessa regler påverkar alla organisationer som på något sätt lagrar och hanterar personuppgifter i sina system, framförallt om lagring sker i molntjänster som ägs av utomeuropeiska företag.

Vad gäller vid överföring av data inom och utanför EU?

Det är fritt fram att överföra personuppgifter och data mellan alla länder inom EU (gäller även EES-länderna). Om du däremot vill föra över och lagra uppgifter utanför EU, exempelvis i USA, krävs vissa förutsättningar för att detta ska vara tillåtet. Det kan vara följande:

EU-kommissionen bedömer att landet uppfyller s.k. adekvat skyddsnivå. Lista på godkända länder finns hos Datainspektionen här.
Man har upprättat särskilda bindande företagsbestämmelser (BCR, Binding Corporate Rules) eller standardavtalsklausuler (SCC) som säkerställer godkänd skyddsnivå. Dessutom ska organisationen säkerställa att det inte finns en annan lag som trumfar ovan bestämmelser eller klausuler, exempelvis den amerikanska lagen Cloud Act
Andra situationer kan också vara tillåtna, men dessa bedöms i enskilda fall.

Privacy Shield som grund finns inte längre vid överföring av data till USA

Regelverken kring hantering av personuppgifter har funnits några år och hittills har de stora amerikanska molntjänstleverantörerna lutat sig mot det så kallade Privacy Shield-avtalet. Sedan EU-domstolen ogiltigförklarade Privacy Shield är det inte längre tillåtet att överföra personuppgifter till USA med detta avtal som grund. Det är nu upp till varje enskild verksamhet att göra en bedömning om tillräckligt skydd finns för att garantera att kraven i GDPR efterlevs.

Kryptering av data kan vara ett sådant skydd för organisationen, men viktigt att tänka på är att bevisbördan ligger på den enskilda verksamheten här. Det är alltså den enskilda verksamheten som måste kunna garantera att ingen extern organisation (så som exempelvis NSA) har knäckt aktuella krypteringsnivåer. En garanti som är extremt svår, om inte helt omöjlig, att ge för enskilda organisationer.

CLOUD Act tvingar amerikanska bolag att lämna ut dina personuppgifter

CLOUD Act (Clarifying Lawful Overseas Use of Data Act) innebär att amerikanska myndigheter, vid misstanke om brott, har rätt att begära ut personuppgifter och annan data från amerikanska molntjänstleverantörer, även om denna data lagras utanför USA, t.ex. inom EU. Det spelar alltså ingen roll i vilket land som servrarna där datan lagras befinner sig i. Så länge bolaget som äger servrarna är registrerat som ett amerikanskt bolag så lyder de under CLOUD Act. CLOUD Act öppnar även upp för andra länder, som ingått ett datadelningsavtal med USA, att begära ut data från amerikanska bolag utan att kongress eller domstolar får vetskap om det.

Cloud Act strider mot bestämmelserna i GDPR

Innehållet i Cloud Act går stick i stäv mot själva syftet med bestämmelserna i GDPR. Även om EU visserligen har ett intresse av ett internationellt rättskipande samarbete så måste all utlämning av data som lagras inom EU ske i enlighet med GDPR för att vara laglig. I praktiken innebär detta att överföring endast får ske om det grundar sig på ett specifikt avtal om ömsesidig rättslig hjälp, s.k. MLAT-avtal (Mutual Legal Assistance Treaty). Det är något som CLOUD Act helt enkelt inte tar hänsyn till.

5 faktorer som påverkar er Cloud compliance

Typ av molntjänst.

Valet av molntjänst, alltså privat, publikt eller hybrida moln, spelar roll gällande compliance och hantering av data. Säkerställ att du känner till regelverket väl och vet vilka viktiga compliance-frågor som påverkar valet av er tilltänkta lösning.

Typ av data som lagras.

Av säkerhets- och compliance-skäl är det viktigt att se över vilken typ av data som ska lagras i molnstjänsten. Känslig data kan vara aktuell att se över ett varv till innan du väljer att flytta upp detta i ett publikt moln. Här kan ett privat moln vara ett bättre alternativ.

Säkerhet hos leverantören.

Säkerställ att er tilltänkta molnstjänstleverantör uppfyller nödvändiga certifieringar för compliance, t.ex. ISO 27001. Gå även igenom i detalj hur leverantören jobbar för att garantera säkerhet för er data, hur de jobbar med back-up, samt er rätt att genomföra en översyn av säkerhet och compliance som de bygger upp kring er data.

Krishantering.

Säkerställ att leverantören har en krisberedskapsplan som varnar ifall något fel skulle inträffa med er data.

Nationell och internationell lag.

Skaffa bra koll på vilka dataskyddslagar som gäller i det landet där er data kommer att lagras, exempelvis GDPR inom EU, samt om det finns andra lagar som riskerar att trumfa de nationella lagarna, exempelvis Cloud Act.

Läs mer om hur personuppgifter bör hanteras i molnet för uppnå Cloud Compliance, det vill säga säkerställa efterlevnad av regelverket.

Ladda ner vårt Whitepaper

Namn*
Förnamn Efternamn
Företag*
Email*
Score 25
Samtycke*
Jag godkänner integritetspolicyn.

Privacy Shield faller– vad innebär det för företag som redan lagrar data i amerikanska moln?

Cloud-experten Victor Souza:

”Det enda som kan användas för att reglera överföring av data från EU till USA nu är en s.k. SCC (Standard Contractual Clauses). På kort sikt bör man genomföra en noggrann kartläggning över var man lagrar persondata idag, vilka företag som har tillgång till den datan och sedan säkerställa att dessa täcks av en SCC. På lång sikt bör man hitta en mer hållbar lösning för datalagring. Den juridiska maktkamp som pågår mellan USA och EU kommer förmodligen inte att ta slut inom de närmsta åren.”

Läs hela intervjun med Victor Souza här.

Viktiga aspekter när du planerar att flytta er IT-infrastruktur till molnet

Med tanke på det svåra och komplexa juridiska läget mellan EU och USA rekommenderar vi att ha dessa punkter i åtanke när du planerar molnresan. Allt för att inte hamna i kläm mellan dessa regelverk.

Välj en europeisk molntjänstleverantör som har sina servrar inom EU. Då kan du vara trygg i att er datalagring uppfyller krav på personuppgiftsskydd enligt GDPR. Du behöver heller inte oroa dig över att Cloud Act kan tvinga leverantören att lämna ut era uppgifter till ett tredjepartsland. Viktiga aspekter för att säkerställa efterlevnad av GDPR.
Om ni planerar att lagra informationen utanför EU, välj en infrastruktur som är lätt att flytta över till en annan leverantör ifall det juridiska läget snabbt skulle förändras, exempelvis nu när Privacy Shields upphörde. Att låsa in sig i långa avtal med leverantörer utanför EU, eller att bygga sin infrastruktur på leverantörsspecifik funktionalitet kan få svåra konsekvenser om läget förändras.

Har ni redan påbörjat en flytt till en mer molnbaserad miljö?

Många organisationer har redan påbörjat resan mot en molnbaserad IT-miljö. Om det inte redan är gjort så är det isåfall hög tid att:

kartlägga var er data kommer att lagras (inom eller utanför EU)
säkerställa att korrekta avtal finns på plats som godkänner flytt av personuppgifter till eventuellt tredjepartsland
kartlägga vilka nationella lagar (även utanför EU) som kan tänkas påverka hanteringen av er information, t.ex. Cloud Act.

Se även till att göra en riskanalys med en sannolikhetsbedömning och konsekvensanalys som viktar eventuella scenarier som kan ha negativ påverkan på er molnstrategi. Lägg upp en plan för hur ni hanterar dessa risker ifall de inträffar.

Boka konsultation med en Cloud Architect.

Namn*
Förnamn Efternamn
Företag*
Email*
Fråga till Cloud Architect
Samtycke*
Jag godkänner integritetspolicyn.

Cookie	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
nQ_cookieId	12 months
nQ_userVisitId	12 months
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Varaktighet	Beskrivning
_fbp	1 day	Facebook
_ga	2 years	This cookie is a Google Analytics persistent cookie which is used to distinguish unique users.
_gat_gtag_UA_67004867_1	1 hour	Google Tag Manager used to throttle request rate. If Google Analytics is deployed via Google Tag Manager, this cookie will be named _dc_gtm_<property-id>.
_gid	24 hours	Google Analytics used to distinguish users.
SAPISID	2 years	Google collects visitor information for videos hosted by YouTube.
SSID	2 years	Google collects visitor information for videos hosted by YouTube on maps integrated with Google Maps.

Cookie	Varaktighet	Beskrivning
__Secure-3PAPISID	2 years	Google Builds a profile of website visitor interests to show relevant and personalized ads through retargeting.
__Secure-3PSID	2 years	Google: Builds a profile of website visitor interests to show relevant and personalized ads through retargeting.
__Secure-APISID	8 months	Google: Builds a profile of website visitor interests to show relevant and personalized ads through retargeting.
__Secure-HSID	8 months	Google: To secure digitally signed and encrypted data from the unique Google ID and store the most recent login time that Google uses to identify visitors, prevent fraudulent use of login data and protect visitor data from unauthorized parties. This can also be used for targeting purposes to display relevant and personalized advertising content.
1P_JAR	1 week	Based on recent searches and previous interactions, custom ads are shown on Google sites.
AnalyticsSyncHistory	30 days	LinkedIn
ANID	2 years	Lists ads on Google sites based on recent searches.
APISID	2 years	Google Analytics: Personalizes Google ads on websites based on recent searches and interactions.
bcookie	24 months	LinkedIn
CONSENT	2 years	Google Stores visitors’ preferences and personalizes ads.
fr	3 months	Contains encrypted Facebook ID and Browser ID
HSID	2 years	Security cookie to confirm visitor authenticity, prevent fraudulent use of login data and protect user data from unauthorized access.
lang	Session	LinkedIn
lidc	1 day	LinkedIn
SID	2 years	Google: Security cookie to confirm visitor authenticity, prevent fraudulent use of login data and protect visitor data from unauthorized access.
UserMatchHistory	30 days	LinkedIn

Sök på Binero

GDPR och CLOUD Act – regelverk att förhålla dig till i din molnstrategi

GDPR fokuserar på individens rätt

Vad gäller vid överföring av data inom och utanför EU?

Privacy Shield som grund finns inte längre vid överföring av data till USA

CLOUD Act tvingar amerikanska bolag att lämna ut dina personuppgifter

Cloud Act strider mot bestämmelserna i GDPR

5 faktorer som påverkar er Cloud compliance

Typ av molntjänst.

Typ av data som lagras.

Säkerhet hos leverantören.

Krishantering.

Nationell och internationell lag.

Läs mer om hur personuppgifter bör hanteras i molnet för uppnå Cloud Compliance, det vill säga säkerställa efterlevnad av regelverket.

Ladda ner vårt Whitepaper

Privacy Shield faller– vad innebär det för företag som redan lagrar data i amerikanska moln?

Viktiga aspekter när du planerar att flytta er IT-infrastruktur till molnet

Med tanke på det svåra och komplexa juridiska läget mellan EU och USA rekommenderar vi att ha dessa punkter i åtanke när du planerar molnresan. Allt för att inte hamna i kläm mellan dessa regelverk.

Har ni redan påbörjat en flytt till en mer molnbaserad miljö?

Många organisationer har redan påbörjat resan mot en molnbaserad IT-miljö. Om det inte redan är gjort så är det isåfall hög tid att:

Boka konsultation med en Cloud Architect.

Sök på Binero

Vi hjälper gärna till!

GDPR och CLOUD Act – regelverk att förhålla dig till i din molnstrategi

CLOUD Act tvingar amerikanska bolag att lämna ut dina personuppgifter

Cloud Act strider mot bestämmelserna i GDPR

5 faktorer som påverkar er Cloud compliance

Läs mer om hur personuppgifter bör hanteras i molnet för uppnå Cloud Compliance, det vill säga säkerställa efterlevnad av regelverket.

Ladda ner vårt Whitepaper

Privacy Shield faller– vad innebär det för företag som redan lagrar data i amerikanska moln?

Viktiga aspekter när du planerar att flytta er IT-infrastruktur till molnet

Med tanke på det svåra och komplexa juridiska läget mellan EU och USA rekommenderar vi att ha dessa punkter i åtanke när du planerar molnresan. Allt för att inte hamna i kläm mellan dessa regelverk.

Har ni redan påbörjat en flytt till en mer molnbaserad miljö?

Många organisationer har redan påbörjat resan mot en molnbaserad IT-miljö. Om det inte redan är gjort så är det isåfall hög tid att:

Boka konsultation med en Cloud Architect.