Contact us: +45 40 32 32 35
Dansk

Datatilsynet Med Vejledning Til Dataansvarlige Om Brug Af Cloud-Løsninger

Søren Lassen Jensen
By: Søren Lassen Jensen GDPR | 1 april

Datatilsynet har udgivet en vejledning til brug af cloud-løsninger, som skal hjælpe dataansvarlige med at danne et overblik over, hvordan du vurderer dine databehandlere, samt hvilke krav som du skal stille til dem. Denne blogpost fungerer som en kort introduktion til de vigtigste pointer fra Datatilsynets vejledning. Hvis man arbejder med cloud-løsninger, så anbefaler vi selvfølgelig, at man læser hele Datatilsynets vejledningen.

Hvad du skal have styr på som dataansvarlig når det kommer til cloud-løsninger 

I denne blogpost kommer vi til at dykke ned i de forskellige ting, som I skal overveje, når det kommer til at vælge en cloud-løsning, som dataansvarlig. Det afviger ikke meget fra, hvad man skal have styr på ift. ens andre samarbejdspartnere og databehandlere, men der er lidt ekstra ting at være opmærksom på, da en cloud ikke bare er en cloud. Det vigtigste er at være opmærksom på, hvordan de forskellige typer af cloud-løsninger og leverancemodeller kan påvirke jeres databehandling. Vejledningen kommer med råd om:

  • Dit kendskab til dine cloud-løsninger 

  • Din indgåelse af en databehandleraftale 

  • Dine tilsyn med dine cloud-leverandører 

  • Din udførelse af en risikovurdering  

  • Overførsler til tredjepartslande 

Inden vi dykker ned i hvert enkelt punkt, så vil vi starte med at kommentere på de forskellige typer af cloud-løsninger og de forskellige former for cloud-leverancemodeller. 

Hvad er en cloud-løsning? 

Hvad er en cloud-løsning egentlig? Ordet ”cloud” bruges som en overordnet model til tjenester der tilgås via internettet. Cloud-løsninger kan leveres på flere forskellige måder, enten som en løsning eller en større samling af løsninger. Cloud eller “skyen” er altså lidt af en fællesbetegnelse for mange forskellige tjenester. De kan være meget skræddersyede til jer eller standardiserede produkter, som benyttes af mange mennesker, som f.eks. Google drev, eller OneDrive.  

Typer af cloud-løsninger 

Der findes mere end bare en type cloud-løsning. Her vil vi præsentere 3 forskellige slags cloud-løsninger, som hver især tilbyder forskellige løsninger og stiller forskellige krav til kunden. De forskellige slags cloud-løsninger og de aktører der indgår i deres leverancemodel, har ofte hver deres aftalegrundlag, som  danner grundlag til databeskyttelsesproblemstillinger.  

Infrastruktur som en service (IaaS) 

IaaS er en type cloud-løsning, som giver dig (datakontrolløren) adgang til infrastruktur, som tilbyder lager, beregnings- og netværksressourcer efter behov. Her opretter man ens eget miljø med virtuelle maskiner og netværk. Man skal selv installere servere samt operativsystemer, som fungerer som erstatning for en fysisk server. Med denne løsning har du selv ansvar og kontrol over software og andre programmer, som du installerer på infrastrukturen, mens cloud-leverandøren administrerer infrastrukturen for dig.  

Eksempler på IaaS tjenester er: Azure Virtual Machine, Amazon Web Services og Google Compute Engine. 

Platform som en service (PaaS) 

Med PaaS har du adgang til en infrastruktur, som leverandøren servicerer for dig. På samme måde som IaaS, så sørger PaaS for infrastrukturen. I stedet for IaaS så tilbyder PaaS også software og udviklingsværktøjer, som du kan gøre brug af. På infrastrukturen kan du også selv installere dine egenudviklede eller indkøbte programmer. Med PasS har du selv ansvaret for alle de programmer, som du selv implementerer, mens cloud-leverandøren administrerer infrastrukturen og de tjenester, som de tilbyder.  PaaS sørger altså for, at du ikke behøver at have din egen server, og at alle programmer er tilgængelige for dig i skyen.

Eksempler på PaaS tjenester er: Google App Engine, Force.com eller Magento Commerce Cloud 

Software som en service (SaaS) 

SaaS er forkortelsen af ‘Software as a Service’ og er overordnet set en online løsning, som man tilgår via internettet. Her ligger alt i skyen, og der er ikke noget man skal installere på ens computer. Cloud-leverandøren administrerer her hardware, infrastruktur og software. Alt hvad der kræves af dig er internetadgang. Med SaaS tjenester har du typisk meget få muligheder for tilpasning af produktet, og derfor skal du overveje, om tjenesten kan integreres i dit miljø af eksisterende systemer.  

Eksempler på SaaS tjenester er: Gmail, Office 365, Business Central, Dropbox eller Salesforce.

Smart CTA_e-book DK

Dit valg af clouds påvirker jeres GDPR-arbejde

Dit valg af cloud-løsning påvirker de databeskyttelsesretlige vurderinger, som du skal foretage dig. Jo flere opgaver og informationer, som du giver til cloud-leverandøren, jo mere skal du som dataansvarlig sikre dig, at leverandøren behandler dataene inden for rammerne af databeskyttelsesreglerne. 

Former for cloud leverancemodeller 

Skyen er lidt en kompleks størrelse, og den kan tilgås og leveres på forskellige måder. Der er derfor forskellige leverancemodeller. Den måde, som skyen leveres på, påvirker også, hvordan cloud-udbyderens ressourcer deles med deres andre kunder. De forskellige former for cloud-leverancemodeller har hver især visse sikkerhedsmæssige grundlag, som man kan skal overveje som dataansvarlig. 

Privat cloud 

Med privat cloud, så er cloud-løsningen til privat og eksklusiv brug i din organisation. Kort sagt, det er kun din organisation, der har adgang til cloud-løsningen. Den private sky er kun til din organisation, og du deler ikke server med nogen andre. Selve clouden eller “skyen” kan være placeret i din virksomheds datacenter eller i udbyderens datacenter. Den private cloud giver her ekstra sikkerhed, da det kun er din organisation der har adgang til den. Eksempler på private clouds kunne være: Virtual Private Cloud, Azure Stack og Cisco ONE Enterprise. 

Fælles cloud 

Med fælles cloud, så er cloud-løsningen til fælles brug for en defineret gruppe af organisationer. Man deler altså server plads og cloud-miljø sammen med de andre organisationer, som er på clouden. Organisationer, der gør brug af fælles cloud, kunne f.eks. være politiet eller universiteter. Udbydere af fælles cloud er f.eks. Cisco, Cloud4C, HPe og IBM. 

Offentlig tilgængelig cloud 

Offentlig tilgængelige cloud-løsninger er den mest almindelige form for cloud. De bliver hostet på offentlige servere og tilbyder typisk den største kapacitetsmæssige fleksibilitet. De fleste offentlige clouds bliver brugt til f.eks. e-mails og fildeling. Hvis man bruger en offentlige tilgængelig cloud-løsning, så deler man server med leverandørens andre kunder, hvilket giver mindre sikkerhed end f.eks. en privat cloud. Offentlig tilgængelige clouds kunne f.eks. være Microsoft Azure eller Google Cloud Services. 

Hybrid cloud 

Hybrid clouds er en sammensætning af to eller flere cloud-løsninger (offentlig, fælles, privat). Her forbliver hver cloud-løsning som deres egen enhed, men er forbundet på en måde, at data kan flyttes rundt mellem hver enhed. F.eks. kan man opbevare data på den offentlige sky og følsom information på den private sky. En hybrid cloud-løsning er ikke det samme som at have flere forskellige (usammensatte) cloud-løsninger. Eksempler på hybrid clouds er VMwares vSphere og vCloud Air eller RackConnect. 

De forskellige cloud-løsninger og deres leverancemodeller adskiller sig meget fra hinanden på forskellige måder; teknisk kompleksitet for kunden, indhold, sikkerhedsprofiler, ansvarsfordeling mm. Uanset cloud-løsning og leverancemodel, så er der visse ting, du skal have styr på. 

Dine forpligtelser som dataansvarlig 

Kend dine cloud-løsninger 

En vigtig forudsætning for lovlig behandling af personoplysninger er, at du ved hvilken form for cloud-løsninger og leverancemodeller, som I gør brug af. Du skal også have kendskab til, hvilke personoplysninger der bliver behandlet via cloud-løsningen, til hvilket formål det bliver behandlet, samt hvordan dataene bliver behandlet. 

Det første step er altså at få skabt et overblik, hvis man ikke allerede har det.

Indgå en databehandleraftale 

Da cloud-løsningen typisk behandler persondata for dig (den dataansvarlige) og derfor er en databehandler, så skal du indgå en databehandleraftale med dem.

Aftalen skal danne rammerne for cloud-løsningens behandling af dataene og skal opfylde visse mindstekrav. Aftalen skal også indeholde dine instrukser til leverandøren af cloud-løsningen. 

Du skal have styr på, at der i hovedaftalen og databehandleraftalen er taget stilling til alle databeskyttelsesretlige forhold, som du vurderer nødvendigt at pålægge, og som kan gøre sig gældende for cloud-leverandøren. 

F.eks.: 

  • Evnen til at kunne redegøre for dine behandlingsaktiviteter 

  • Dokumentation og din vurdering af cloud-leverandørens evne til at sikre at databehandlingen bliver udført ift. databeskyttelsesreglerne. 

  • Kontraktens læselighed 

  • Databehandleraftalens afspejling af dine krav med hensyn til behandlingsaktiviteten 

  • Dine kontroller og opfølgning på eventuelle afvigelser fra aftalen 

Lav tilsyn med din cloud-leverandør 

Cloud-leverandører har typisk etableret procedurer og får gennemført revisioner af uafhængige tredjeparter. Du skal dog være opmærksom på, om de revisionsrapporter dækker de behandlingsaktiviteter, som du har overladt til cloud-løsningen. Som dataansvarlig kan det derfor godt være en god idé at føre tilsyn med din databehandler (cloud-løsningen) for at sikre, at de behandler jeres data forsvarlig og korrekt ift. databehandleraftalen. 

Risikovurdering 

Du skal sørge for, at jeres cloud-løsninger er en del af jeres risikovurdering. Du skal tage udgangspunkt i den påtænkte behandlingsaktivitet. Som nævnt tidligere, er der visse cloud-løsninger, der leveres som standardløsninger og som nødvendigvis ikke kan tilpasses til din organisation. Der kan derfor være begrænsninger i at træffe visse foranstaltninger til at imødegå evt. databeskyttelserisici med sådan en cloud-løsning. 

Du skal også etablere et passende behandlingssikkerhedsniveau sammen med din cloud-leverandør. Cloud-leverandører har typisk allerede etableret et behandlingssikkerhedsniveau. 

Din opgave, som dataansvarlig består derfor i at: 

  • Afdække det etablerede behandlingssikkerhedsniveau hos cloud-løsningen, samt at gennemgå deres dokumentation. 

  • Vurdere om deres behandlingssikkerhedsniveau svarer til det niveau, som du vurderer passende på baggrund af din risikovurdering. 

Overførsler til tredjepartslande 

Hvis din cloud-leverandør befinder sig uden for EU/EØS, betragtes det som et tredjeparts land, hvilket også inkluderer USA på baggrund af Schrems II dommen. Desuden, hvis de gør brug af underdatabehandler, der befinder sig uden for EU/EØS, skal du være ekstra opmærksom på relevante krav. En god idé er at tage udgangspunkt i Det Europæiske Databeskyttelsesråds anbefalinger om supplerende foranstaltninger: 

  • Identificering af alle dine tredjelandsoverførsler 

  • Identificere eller etablere relevante overførselsgrundlag 

  • Træffe supplerende foranstaltninger 

  • Iagttage eventuelle proceduremæssige krav 

  • Reevaluere overførslerne med passende intervaller 

Konklusion 

Der er mange ting, man skal være opmærksom på, når det kommer til valg af cloud-løsninger og leverancemodeller for at sikre, at man er GDPR-compliant. Hver løsning og model medbringer visse krav og retningslinjer, som man skal have styr på, når det kommer til sikker behandling af persondata. Vi håber, at vejledningen har hjulpet dig med at danne overblik over de forskellige cloud-løsninger, hvordan de leveres, og hvilke ting du skal overveje og have styr på som dataansvarlig. Du kan læse Datatilsynets fulde vejledning for at lære mere om, hvad der kræves af dataansvarlige, når det kommer til brugen af cloud-løsninger. Hvis du stadig har spørgsmål til brug af skyen som dataansvarlig, så har Datatilsynet også en FAQ med ofte stillede spørgsmål.