Skjermbilde-2016-06-30-kl.-20.42.12
Et varsku om flytting av data til skytjenester - Bouvet Norge blogmask-mobile

Et varsku om flytting av data til skytjenester

Simen Sommerfeldt,  Eva Jarbekk 
1. juli 2016

Verden er ikke alltid så enkel som skyleverandørene vil ha det til. Og samtidig som KMD oppfordrer til økende bruk av skytjenester, kan mangelfulle forberedelser føre til harde økonomiske sanksjoner.

At bruken av skytjenester er på opptur, merker vi av hvor ofte vi må realitetsorientere (de potensielle) kundene til skyleverandørene. Og vi føler oss litt som "Tante Sofie" når noen enkle spørsmål avdekker at de må ta et par runder til.

Det er IKKE greit å planlegge med å ha data i skyen uten videre - heller ikke i europeiske skyer - uansett om leverandøren tilbyr en standard kontrakt. KMD har i den siste cloud-strategien (link) også opplyst om dette. I strategien oppfordres det til økende bruk av cloud. KMD oppgir også hvilke tiltak de pålegger DIFI å utføre for å kunne tilrettelegge lovverket bedre. På tross av god vilje, er altså regelverket helt identisk med slik det var før rapporten. Samtidig kommer EUs nye personverforordning (GDPR) allerede i mai 2018, med sin presisering av ansvarligheten for hvor aktører lagrer data. - og kraftige økonomiske sanksjoner, særlig for brudd på disse reglene.

scales

Vi har altså politisk vilje på en side, og harde internasjonale realiteter på den andre

Utfordringene med amerikanske skyleverandører

USA befinner seg på utsiden av EUs liste over helt godkjente land. Det spiller ingen rolle om serveren står i EU/EØS hvis de som vedlikeholder basene sitter i USA eller Asia - det er også regnet som en overføring. I tillegg er kundene ofte indirekte kunder av skyleverandørene  Hvis man selv er direkte avtalepart med skyleverandøren, er det lettere enn om det er en tredjepart i mellom. Det er det ofte, og da er det vanskeligere (dog sjelden umulig) å få til et lovlig opplegg. Poenget er at skyleverandøren som regel bare gir rettigheter til sin direkte avtalepart. Da får leverandørens kunde (og sluttbrukeren) et problem med å overholde sine rettigheter.

Det er ikke så merkelig om mange synes at fordelene oppveier for usikkerheten rundt jussen, og dermed havner i gråsoner. Så her kommer vårt lille varsku: Konsekvensen av feil valg av databehandler kan bli vesentlig under det nye lovverket som gjelder fra 2018.

gdpr
I EUs nye personvernforordning er tilgang til data likestilt med databehandling, altså kan en servicetekniker som logger seg på fra USA gjøre at skyleverandøren er “i breach”.

Det er ikke alltid at det hjelper om man har en modellavtale (EUs standard for databehanderavtaler) med leverandøren. Om avtalen gjelder sensitive data, krever den at den registrerte personen informeres om hva som skjer. Og det er jo ikke alltid praktisk...

emoticon_confused

Det er mange “hvis” som må klaffe samtidig dersom det skal være helt greit å legge sensitive data ut i en sky i EØS i dag. Og dialogen må løftes til ledelsen og styrerommet, da de økonomiske konsekvensene kan bli betydelige.Det er mange “hvis” som må klaffe samtidig dersom det skal være helt greit å legge sensitive data ut i en sky i EØS i dag. Og dialogen må løftes til ledelsen og styrerommet, da de økonomiske konsekvensene kan bli betydelige.

Vi er smertelig klar over at norske firmaer og offentlige myndigheter har store muligheter til innsparinger ved å ta i bruke de innovative teknologiene til de amerikanske skyleverandørene.

Samtidig må vi ikke gå beina av oss i teknologibegeistring. Vil ditt firma eller institusjon risikere å ikke følge lovverket når konsekvensene blir såpass brutale allerede i 2018?

Noe av denne problemstillingen kan løses om flere internasjonale aktører gjør som Microsoft i Tyskland: Tilbyr lokale aktører å drifte sin teknologi i lokalt eide datasentre - uten mulighet til overføring til USA. Da kan norske myndigheter og næringsliv få ta del i produktiviteten som skya tilbyr. Inntil da må alle gjøre grundig forarbeid, og sørge for at de kan tåle en inspeksjon etter innføringen av GDPR i 2018. Noe annet kan fort bli dyrt og skape negativ publisitet.

Til høsten kommer vi med en veileder for hvordan du kan gå frem på en trygg måte. Vi kommer også til å holde en serie foredrag om temaet. Følg med på denne bloggen.

Denne artikkelen har også blitt postet på nettsiden til Føyen-Torkildsen: Link