Bruker du skytjenester? Husk dette GDPR-grepet!

20-04-2018

Pressemelding: Oslo 20.04.2018

Databehandleravtaler tvers igjennom hele skylaget vil bidra til å sikre korrekt håndtering hos skyleverandører og deres underleverandører.

 

 

– Databehandleravtaler er ikke nødvendigvis vanskelig å få på plass, men det er viktig at virksomhet som bruker skytjenester har orden på dette. Det handler om at data blir behandlet som avtalt og i samsvar med GDPR, og ikke minst at kunden blir orientert dersom skyleverandøren for eksempel får inn en ny underleverandør, sier compliance rådgiver Patrick Tahiri i Basefarm.

 


– Om du skulle få GDPR-ettersyn vil du dessuten være veldig fornøyd med å ha kontroll også med databehandleravtaler. Ved kontroll er det naturligvis viktig at virksomheten også kan dokumentere at avtalene blir etterlevd i praksis. En god måte å håndtere dette på i praksis er å følge opp avtalene gjennom virksomhetens internkontrollregime, sier han.

Databehandleravtalen som skybrukeren inngår med sin skyleverandør må regulere roller og forpliktelser:

  • For databehandleren (skyleverandøren) inkludert følging av instrukser, dokumentert GDPR-compliance, konfidensialitet, sikkerhet og tilgangskontroll i forhold til personlige data
  • For databehandleren når en tjeneste skal avsluttes, inkludert sletting eller tilbakelevering av data
  • Ved eventuelle skifte eller introduksjon av nye underleverandører til skyleverandøren

Tahiri forklarer at en vanlig situasjon for mange virksomheter er at databehandlingen skjer i en privat sky, det vil si i en serverpark hos en lokal driftsleverandør. I en slik situasjon er det tilstrekkelig å inngå databehandleravtale med denne ene leverandøren.

Et annet scenario er at en virksomhet via sin driftsleverandør også bruker tjenester i én eller flere offentlige skyer som Google Cloud, AWS eller Microsoft Azure. I slike situasjoner må IT-driftsleverandøren inngå back-to-back-avtaler med disse, altså sørge for at de offentlige skyleverandørene forplikter seg på samme måte som IT-driftsleverandøren har gjort overfor kunden sin. Her kan man støte på standardavtaler som leverandørene er tilbakeholdne med å endre.

– Den offentlige skyen er ikke så utflytende som begrepet gir inntrykk av. Vi får mulighet til å velge i hvilket datasenter tjenestene skal kjøres. Imidlertid knytter skyleverandørene til seg internasjonale underleverandører som tilbyr tjenester i den offentlige skyen. Dette er det viktig å være oppmerksom på og regulere i avtaler, sier Tahiri, og legger til:

– Her er klare retningslinjer for varsling ved leverandørskifte ekstra viktig. Dersom en sentral tjeneste blir flyttet utenfor Europa, må man i ytterste konsekvens flytte hele installasjonen til en annen offentlig skyleverandør som har et tilsvarende, europeisk tilbud.

Han mener at dette ikke er det mest sannsynlige scenariet, men en situasjon som kan inntreffe og at det derfor er viktig å knytte til seg kompetanse på hel eller delvis migrering fra en offentlig sky til en annen. 

Ønsker du mer informasjon om GDPR?

Basefarms GDPR Guide

Se opptak fra vårt webinar om GDPR og ta vår GDPR-quiz!

Ta kontakt med våre eksperter ved å fylle ut feltene nedenfor:

btn-top