Personfølsomme oplysninger i skyen? Søg eksperthjælp!
Datasikkerhed og overholdelse af reglementer er noget, der ifølge mange undersøgelser giver rynker i panden hos it-cheferne, når det handler om cloud. Men det er faktisk meget enkelt at sige, hvad man skal bekymre sig om, når data skal placeres i skyen:
»Det er selvfølgelig, hvilke juridiske krav der er relevante for din virksomheds datahåndtering,« lyder det simple budskab fra Kim Aarenstrup fra IBM. Han er bestyrelsesformand for den internationale sikkerhedsorganisation Information Security Forum (ISF).
Først skal man finde ud af, hvor ens data befinder sig - inden eller uden for landets eller EU's grænser. Dernæst skal man afklare de juridiske konsekvenser. Man skal sætte sig ned med egne interne eller eksterne jurister og finde ud af, hvad betydningen er: Er data personfølsomme eller personhenførbare?
»Det er de færreste, der helt kan gennemskue de juridiske konsekvenser, så jeg vil klart anbefale, at man får rådgivning.«
Men det er ikke nogen god ide at få den fra leverandøren. Det kan ende med rod i rollerne, så det er vigtigt, at der er tale om uvildig rådgivning.
Nogle typer af virksomheder har flere personfølsomme data end andre. Det gælder for eksempel sundhedssektoren, som har visse persondataudfordringer med cloud-teknologi. Man skal forholde sig til, hvor data bevæger sig rundt, hvor de er lagret, og hvem der kan tilgå og behandle dem.
Der er ingen nemme løsninger, men det er heller ikke mere kompliceret, end at der findes løsninger til det meste. Det handler om at formulere de præcise krav, som leverandøren skal leve op til, og at kunne dokumentere, at de overholdes, via ekstern revision.
Det betyder også, at kravene bestemmer, hvor i cloud-spektret ens løsning kan befinde sig - om man kan udnytte de store, billige skyer, en privat cloud-løsning eller ender med noget, der mest af alt ligner en klassisk hosted løsning.
Cloud-teknologien er ofte mere sikker end de gammeldags hostingløsninger, fortæller Kim Aarenstrup. Det skyldes, at sikkerhedsniveauet som udgangspunkt ofte er højere på grund af den mere gennemgående standardisering, herunder at sikkerheden har høj prioritet og er indvævet i løsningen helt fra bunden.
Det ville også være en fordel, hvis europæiske regler på tværs af landene var mere ensrettede inden for datalovgivning. EU er på vej med en ny forordning, der vil skabe standardisering inden for privacy i Europa og måske blive globalt trendsættende.
It-revision sikrer procedurerne
Peter Kroul fra Athena, som leverer drift og hosting, har ikke den store fidus til de store skyer, når det handler om følsomme oplysninger, selvom prisen kan være god nok.
»Det, der kan være problematisk med de store clouds, som er spredt ud over flere lokationer over hele verden, er, at de har svært ved at dokumentere over for slutbrugeren, hvor data befinder sig. Vælger man en dansk cloud, så er det typisk en mindre udbyder, som har sin løsning liggende på én lokation. Hvis man som forbruger sikrer sig, at hostingfirmaet har styr på sine it-revisionserklæringer, har man en rimelig vished for, at der har været uvildige inde over for at sikre, at procedurerne er i orden.«
Herhjemme har en række kommuner fået afslag fra Datatilsynet på at kunne bruge SaaS-tjenester såsom Gmail.
Det mener Peter Kroul er i orden, da kravene i persondataloven ikke kan opfyldes, sådan som den lyder i dag.
Han vil også være lidt betænkelig ved at benytte udenlandske SaaS-løsninger til for eksempel ERP.
»For hvem har adgang til mine data, og hvordan kan jeg sikre mig, at de ikke pludselig ryger til nogen, som jeg ikke har lyst til skal modtage dem?« lyder betragtningen.
Rettet 15.12: Det har tidligere fremgået af artiklen, at Datatilsynet har givet kommuner afslag på at bruge Microsofts Office 365-løsninger. Dette er ikke korrekt - tværtimod har Datatilsynet eksempelvis blåstemplet den Office 365-løsning, som IT-Universitetet har rullet ud. Læs evt. mere her.
Kommentarer (3)
Jeg vil blot til denne artikel kommentere, at man godt i nogle tilfælde kan lægge informationer i skyen- også hos en udenlandsk leverandør, hvis blot man tilsikrer, at den nærmere definerede server er krypteret med et værktøj der ikke giver Cloud-/hostingudbyderen læse-og skriverettigheder, men kun indsigt nok til at drifte løsningen.Er man et oplagt terrormål, er det selvfølgelig udelukket at afvikle kritiske løsninger i udlandet.Generelt ser det ud til at mange hosting virksomheder ikke er klar over den mulighed der ligger for at segmentere servere med krypteringsværktøjer, således at f.eks.flere kunder kan hostes i samme miljø, uden at kunne se hinandens data, ligesom driftsfolk derved også spærres for indsigt i fortrolige data.Med venlig hilsen Mette Nikander/ C-cure
-
2 -
0
Personfølsomme data i skyen er generelt langt mere sikkert end traditionel hosting. Om personfølsomme data ligger i eller uden for Danmark er fuldstændig ligegyldigt. I en moderne verden med moderne cloud løsninger som allerede findes på markedet, betyder det mindre om serverne står i Danmark, Tyskland, Japan eller USA. Hvis man anvender de større cloud løsninger, så mener jeg generelt at de fleste virksomheder og offentlige organisationer vil være godt og langt bedre stillet end de er idag. De mindre cloud løsninger og udbydere har naturligt ikke økonomi til at investere nok i optimal infrastruktur og sikkerhed, så derfor anbefales de større cloud løsninger.
I moderne cloud løsninger som f.eks. Salesforce CRM (ERP) som vi arbejder med hos TURNER & KO i det daglige, findes der masser af sikkerhed, backup og begrænsning af utilsigtet tilgang, så vores kunder kan bestemme hvordan og hvor brugerne kan tilgå data og fra hvilke enheder osv.
De mange millioner og milliarder der samtidig kan spares på drift og hosting i skyen med en cloud løsning, kan jo samtidig anvendes på øget sikkerhed, hvis man stadig mod forventning føler en smule usikkerhed.
-
0
-
0
Tilføj kommentar
