Schrems II – hur gör du nödvändiga bedömningar och anpassningar?

I mitt tidigare inlägg gjorde jag en genomgång av vilka effekter EU-domstolens Schrems II-dom kan få för din verksamhet. Det som gör Schrems II så viktig för verksamheter är främst för att användandet av publika molntjänster ökar så kraftigt. I och med Schrems II måste europeiska företag göra individuella bedömningar för varje dataöverföring till länder utanför EU.

Det är värt att nämna att Schrems II inte bara kommer att ha stor inverkan på europeiska verksamheter. Domen äventyrar också många av de stora amerikanska IT-leverantörernas affär. Därför försöker flera av de publika molntjänstleverantörerna försäkra kunder om att de kommer att skydda kundernas data genom att förbättra det tekniska skyddet, lagra data inom EU och gå till domstol med varje begäran från myndigheter om tillgång till kunddata. Men om du nagelfar deras rapporter, ger de en annorlunda bild, där myndigheterna fortfarande kan få tillgång till kundkonton.

Det här är något att tänka på, för oavsett vad din molnleverantör säger så är det du och din verksamhet som måste ta ansvar för att nödvändiga åtgärder vidtas och att tillräckligt skydd och säkerhetsfunktioner finns på plats.

Idag arbetar jag med flera verksamheter för att stödja dem i hur de bör hantera konsekvenserna av Schrems II både strategiskt och praktiskt samt hur nödvändiga bedömningar och anpassningar görs.

Här kommer mina tips 

• Börja med att identifiera alla leverantörer och underleverantörer som inte är baserade inom EU.

• Utvärdera dataskyddslagarna i länderna där dina leverantörer har sin hemvist. Inkludera också åtkomst från underrättelsetjänster, som US FISA 702.

• Gör en riskbedömning för alla dina dataöverföringar.

• Granska risker och utvärdera effektiva åtgärder så att du har en plan för alla nödvändiga åtgärder.

• Implementera ytterligare skyddsåtgärder och/eller gör nödvändiga anpassningar i de berörda lösningarna eller för de berörda leverantörerna.

• Försök att involvera lokala dataskyddsmyndigheter för validering av de ändringar och säkerhetsåtgärder du genomför.

• Upprätta en löpande process för att regelbundet se över åtgärderna. Följ rättsfallen inom dataskydd och anpassa åtgärderna när det krävs.

• Se till att dokumentera alla dina utvärderingar och beslut.

Om du fortfarande är tveksam kring om dina åtgärder för molntjänsterna är tillräckliga kan du överväga att skapa en hybrid molnmiljö, där du använder det publika molnet för allt som inte rör persondata och resten hanteras i ett privat moln i ett lokalt datacenter där du också kan få många av fördelarna som det publika molnet ger.

På CGI är vi leverantörsneutrala och hjälper gärna till med utvärderingar, hybridmolnlösningar eller att hantera all din känsliga data lokalt. Läs mer