Svenska företag måste förstå att regelefterlevnaden i molntjänster är deras eget ansvar.
På Storegate arbetar vi inte bara med att lösa våra kunders behov av smarta molntjänster för säker fildelning och backup. En stor del av vårt arbete läggs på att hjälpa företag att förstå regelefterlevnad i molnet.
Många är de gånger då vi inser att våra kunder inte har förstått vem som bär det yttersta ansvaret för regelefterlevnad i molnet. Det går fort att flytta företagets filer till molnet och det är, för många, långt senare man inser sitt misstag. Att det faktiskt är upp till de själva att säkerställa hur den valda leverantören behandlar deras information.
Standardavtalsklausuler inte tillräckligt
Kort efter EU-domstolens ogiltigförklarande av Privacy Shield, i domen SchremsII vs Facebook som föll den 16 juli 2020 så tvingades utländska molntjänstleverantörer att informera sina kunder om att de ändrar villkoren för behandling av personuppgifter. Man gick ifrån att luta sig på ramverket Privacy Shield till att luta sig på standardavtalsklausuler. Förändringen innebär att det nu är du som kund som blir ansvarig för att säkerställa att leverantören och det tredje landet från var er data lagras, lever upp till samma skyddsnivå som om de hade lagrats i Europa av ett bolag med hemvist inom EU, under europeisk lagstiftning. En ganska tuff, om inte säga omöjlig match för såväl stora som små företag och organisationer.
Ansvaret ligger hos kunden
Fördelarna med molntjänster är många och under pågående pandemi ser vi trender till ökat distansarbete. Vi ser att både våra egna och våra branschkollegors tjänster har förbättrat samarbetet kollegor emellan, ökat effektiviteten, gett lägre kostnader och en ökad nöjdhet bland användarna. Så varför är inte allt guld och gröna skogar? Jo, för att när IT-avdelningar rullat ut nya tjänster så kommer företagens Dataskyddsombud och ställer obekväma frågor. Juridiken kring hur man får hantera olika typer av information i molntjänster är svår att sätta sig in i. Man behöver ta hänsyn till en rad olika lagstiftningar beroende på inom vilken sektor man är verksam inom, inte minst GDPR. Men man bör också ta sig en allvarlig funderare på om man är beredd att exponera sin egen och sina kunders data inför utländsk lagstiftning samt vad det kan innebära i ett längre perspektiv.
Det finns komplement
Att dra nytta av fördelarna med molntjänster och de möjligheter som ges till att utveckla verksamheten vill de flesta företag göra. Se därför till att tänka före, istället för efter, när det kommer till att välja leverantör. Var obekväm och ställ följande frågor:
- Kommer vi att hantera personuppgifter hos leverantören?
- Kan vi kontrollera att leverantören lagrar vår data på ett korrekt sätt när Privacy Shield ogiltigförklarats? Kontrollera även underleverantörer.
- Bör vi gå igenom våra egna integritetspolicys och ta bort hänvisningar till Privacy Shield?
- Kommer detta påverka våra personuppgiftsbiträdesavtal med kunder? Säkerställ att överföringar till USA inte sker baserat på standardavtalsklausuler.
- Kommer vi kunna svara våra kunder, partners, Datainspektionen m.fl. som har frågor gällande hur vi lagrar data efter ogiltigförklarandet av Privacy Shield?
Se till att ta hänsyn till regelefterlevnad från första början. Ett sätt är att prata med oss på Storegate. Våra tjänster för säker fildelning kompletterar Office 365 och Google for Work och gör att ni även kan lagra och dela känslig information. På sätt slipper ni oroa er för utländska lagars eventuella påverkan över tid samt få koll på er egen regelefterlevnad.
Av: Torbjörn Lindkvist, Affärsområdeschef, Storegate AB, +46 (0) 705 487 463, torbjorn.lindkvist@storegate.com