I Danmark gælder der høje krav til håndtering af personoplysninger for dataansvarlige. Kravene til datasikkerhed gælder også ved cloud-løsninger.
Det er din virksomhed, som ejer og bestemmer over dataene, der vil blive anset for at være dataansvarlig. Det betyder f.eks., at din virksomhed har pligt til at sikre, at den cloud-løsning som I anvender, overholder de danske krav til datasikkerhed samt de sikkerhedskrav, der gælder i leverandørens hjemland.
Hvis du er i tvivl om din virksomheds datasikkerhed ved cloud-løsninger, vil jeg som minimum anbefale dig, at du sikrer dig følgende;
- at der bliver indgået en databehandlingsaftale med leverandøren,
- at leverandøren modtager skriftlige instrukser om, hvordan personoplysninger skal håndteres,
- at der foretages en risikovurdering af leverandørens håndtering af data,
- at det kontrolleres, at leverandørens andre kunder ikke har adgang til din virksomheds data igennem cloud-løsningen,
- at personfølsomme oplysninger krypteres,
- at der straks bliver givet besked til din virksomhed, hvis nogen uretmæssigt tilgår din virksomheds personoplysninger,
- at leverandøren selv pålægger sine underleverandører de samme forpligtelser om datasikkerhed, som leverandøren selv er pålagt af dig,
- at leverandøren fører tilsyn med, at underleverandører overholder de forpligtelser, som leverandøren selv er pålagt, og
- at leverandøren logger brugen af cloud-løsningen, så enhver tilgang bliver registreret.
Der består altså en række krav til datasikkerhed, som din virksomhed har pligt til at sikre bliver overholdt. Din udfordring i den sammenhæng vil med stor sandsynlighed være, at du måske ikke kender de krav der stilles til din virksomhed som dataansvarlig og endvidere, at din leverandør af cloud-løsningen har anvendt en standard “point and click” aftale, der ikke lever op til de danske krav.
Det kommer måske som en overraskelse for dig, men datasikkerheden betyder faktisk, at den aftale der ligger til grund for cloud-løsningen, er meget vigtig. Det er også meget vigtigt, at du har fuldstændig klarhed over, hvor din virksomheds data befinder sig i verden, ligesom du skal kunne få adgang til dine date, uanset din aftale med en leverandør af en cloud-løsning måtte være sagt op.
Er datasikkerhed ved cloud-løsninger så besværligt? Hvis du er i tvivl om håndteringen, hvordan du er sikret, og om du opfylder kravene til datasikkerheden, så bør du kontakte en professionel rådgiver, der kan hjælpe dig.