Att flytta till molnet eller outsourca din infrastruktur ger en rad fördelar. Det råder det ingen tvekan om. Det medför dock också vissa risker, särskilt när det gäller dataskydd. Därför krävs en seriös, noggrann och genomtänkt process. I den här bloggen vill jag vägleda dig genom några av de mest kritiska områdena.
Men först en rekommendation: Håll dig borta från rådgivare eller leverantörer som säger att detta kommer att bli enkelt. Det är det inte, utan kräver både tid och en hel del ansträngningar!
Dataskyddsförordningen
Låt mig börja med att lyfta fram ett par anledningar till varför dataskydd är så viktigt:
- Skydd av personlig information är och har varit en viktig del av EU:s stadgar som beskriver grundläggande rättigheter för EU-medborgare under lång tid. Det har dock blivit ännu viktigare i takt med att mängden data ökat, näthandel och användning av sociala medier blivit mer utbredd samt den tekniska utvecklingen i allmänhet.
- De ekonomiska konsekvenserna av att bryta mot reglerna eller den skada som ditt anseende kan lida till följd av ett dataintrång är betydande. Att skydda data från korruption, manipulation eller förlust är ett stort ansvar för alla företag.
Ovanstående är bara ett par anledningar till varför både ledningsgrupper och styrelser bör vara noggranna med hur verksamheten hanterar personlig information, även när dessa resurser flyttar till molnet eller kritisk infrastruktur läggs ut på en leverantör.
En del av GDPR som blir relevant vid en molnmigrering är dataöverföringar utanför EU/EES. GDPR tillåter sådana överföringar, men omständigheterna har blivit mer rigorösa i och med EU-domstolens dom i Schrems II. Anledningen är att ett subjekts rättigheter inom EU/EES måste "resa" med subjektets data till tredje land, vilket blev tydligt i och med Schrems II.
Som svar på detta har Europeiska dataskyddsstyrelsen (EDPB) utfärdat rekommendationer för kompletterande åtgärder vid dataöverföringar till tredje land. Rekommendationerna innehåller sex steg för att kunna bedöma överföringar av personuppgifter från EU till länder utanför EU. Några exempel på uppgifter från rekommendationerna är: säkerställ rättslig grund för överföringen och genomförandet genom en överföringskonsekvensbedömning (TIA).
När du väljer överföringsmetod är den vanligaste Commissions Standard Contractual Clauses. En annan skulle dock kunna vara Binding Corporate Rules (BCR). Den senare kräver godkännande från tillsynsmyndigheter och kan endast åberopas inom konsoliderade bolag.
Tillsammans med metodiken innehåller rekommendationerna praktiska exempel och vägledning, där tredje lands lagstiftning skulle kunna vara problematisk och kräva kompletterande åtgärder.
Rekommendationerna understryker dock att det är en skyldighet för både dataexportörer och dataimportörer att säkerställa skyddsnivån som stipuleras av EU-lagarna vid överföring av data till tredje land. För att följa ansvarsprincipen enligt GDPR måste registeransvariga eller de som processar datan och agerar som dataexportörer se till att dataimportören samarbetar med dem för att säkerställa att skyddet följer med uppgifterna och gemensamt övervaka att de åtgärder som vidtas är effektiva och tillräckliga.
Finansiella institutioner och datahantering
Om du också hanterar ekonomisk information tillkommer det en rad regleringar. Ett exempel är europeiska bankmyndigheternas (EBA) riktlinjer för outsourcing, som också implementerats i nationell lagstiftning (t.ex. den danska "Outsourcingbekendtgørelse"). Sådana nationella åtgärder kommer medföra skillnader mellan EU-länder.
Syftet med dessa EBA-rekommendationer är att specificera de tillsynskrav och processer som gäller när institutioner lägger ut sin IT-infrastruktur på molnleverantörer. Detta adderar ett extra lager av komplexitet för både finansinstitut och leverantörer, och speciellt när finansinstitutet finns i flera länder.
Reglerna gör att ett finansinstitut måste säkerställa motsvarande avtalsförpliktelser genom hela värdekedjan för att garantera regelefterlevnad. Exempel kan vara i) förordningen om en säljares användning av underleverantörer eller ii) institutionens rätt att utföra revisioner. Kunden måste säkra motsvarande reglering genom hela flödet, vilket kan visa sig vara svårt vid förhandlingar med globala molnleverantörer.
Slutsats
Syftet med alla dessa regler är att skydda personliga och finansiella uppgifter, vilket är nödvändigt idag. Det kan se överväldigande ut, men det är absolut genomförbart. Det är dock viktigt att komma ihåg att det finns en hel del tolkningar av dessa regler, som kan påverka saker och ting över tid. Du måste hålla dig uppdaterad kring de senaste lagändringarna, rekommendationerna och besluten. På CGI följer vi situationen noga och stöttar våra kunder i deras individuella resa.
Kontakta mig om du har några frågor eller läs mer om hur vi kan hjälpa dig.
About this author
Jens Christian Volhøj
Director, Cloud Practice
Jens Christian har över 20 års erfarenhet inom Manufacturing, Big Data, Advanced analytics, Artificial Intelligence, Machine Learning, IoT och IoT samt Business Intelligence och Data Warehouse. Jens Christian jobbar vid CGI:s verksamhet i Danmark.
