Vejledning omkring cloud

Vejledning omkring cloud

Vejledning omkring cloud

"Personoplysningerne vil således i sjældne tilfælde kunne tilgås af en begrænset gruppe medarbejdere hos underdatabehandleren i Indien."

Har du læst artiklen fra Datatilsynet: ”Vejledning omkring Cloud”?

Vi har læst den, og der er god grund til at forstå hovedpunkterne i den når du har en underleverandør som opbevarer de data du har ansvaret for i skyen.

Det mest relevante afsnit finder du allerede på side 6-7 - i ”Eksempel 2”. står der:

”Et forsikringsselskab vil benytte en cloudservice til at håndtere service- og supportsager (f.eks. et ticket-system red.) om selskabets produkter.

Cloudleverandøren bruger et it-system til at dokumentere og håndtere henvendelserne. It-systemet afvikles på en server i Tyskland. I forlængelse af behandlingen af personoplysninger i it-systemet, som forsikringsselskabet er dataansvarlig for, tilbyder cloudleverandøren en tillægsservice for it-support døgnet rundt. For at kunne levere denne tillægsservice benytter leverandøren en underdatabehandler i Indien.

Personoplysningerne vil således i sjældne tilfælde kunne tilgås af en begrænset gruppe medarbejdere hos underdatabehandleren i Indien.

Forsikringsselskaber vurderer imidlertid, at oplysningerne ikke lovligt kan overføres til underdatabehandleren i Indien. På den baggrund fravælger selskaber den konkrete tillægsservice.

Eksemplet illustrerer, at der kan være forhold omkring leverancemodellen, fx ved service og support, som også skal vurderes databeskyttelsesretligt. Det er ikke altid tilstrækkeligt kun at se på kerneydelsen i en cloudservice. Eventuelle accessoriske ydelser, hvori der sker behandling af personoplysninger, skal også medtages i vurderingen.”

Med andre ord er det uendeligt vigtigt at have tjek på hele forsyningskæden hos den/de leverandører du vælger at overlevere transport eller opbevarings af data til.

Hvordan kan du så komme på sikker grund?

Hvis du vil have ro i maven omkring din cloud-løsning, er det vigtigt at have tillid til leverandør og den gennemsigtighed der er nødvendig for at kende alle facetter af databehandlingen. Datatilsynet specificerer selv nogle punkter der ligger til grund for kontrol, som kan være en god rettesnor for et samarbejde:

  • Din evne til at kunne redegøre for dine behandlingsaktiviteter, herunder datastrømme
  • Din vurdering og dokumentation af cloudleverandørens evne til at sikre, at behandlingen sker i overensstemmelse med databeskyttelsesreglerne
  • Kontraktens ordlyd og gennemsigtighed
  • Databehandleraftalens afspejling af dine krav med hensyn til behandlingsaktiviteten
  • Dine kontroller og opfølgning på eventuelle afvigelser i forhold til det aftalte

Fra etrack1 skal de bedste råd lyde:

Når du skal vælge en virksomhed der leverer alle services ud fra et EU-land, ikke anvender underdatabahandlere eller services placeret udenfor EU og baserer sig på en kontrakt på dansk lovgivning og selvfølgelig har retssted i Danmark.

I vores tidligere guide ”komplet tjekliste til valg af ticketsystem” finder du 25 spørgsmål du skal have svar på, når du vælger leverandør. Blandt disse spørgsmål får du også generelle it-sikkerhedsmæssige spørgsmål du også kan bruge til en nuværende cloud-leverandør. Hent guiden her

Har du spørgsmål eller kommentarer til arbejdet med cloud og/eller data indenfor og udenfor EU, så tøv endelig ikke med at kontakte etrack1

Læse hele guiden fra datatilsynet her

 

Søg