Databehandleraftaler - hold tungen lige i munden, inden du går i skyen

Data er en vare, hvis værdi får meget opmærksomhed i øjeblikket. EU’s persondataforordning (GDPR) har fyldt en del både i offentligheden og i administrationsbygningerne i mange virksomheder gennem de senere år. Det, der måske mest har fyldt i hovederne på it- og sikkerhedschefer, har nu fået mere fokus på både direktions- og bestyrelsesniveau og er blevet et punkt på den fælles dagsorden.

For data er værdifuldt. Både den personfølsomme af slagsen, men ikke mindst de data, der giver indsigt i produktionsforhold, økonomi og andre forretningskritiske aspekter. Adgang til dine data kan give udefrakommende indblik i de ting, du gerne vil holde hemmelige, så derfor er det afgørende, at dørene slutter tæt. Og det er afgørende, at du konstant har kontrol over, hvor dine data befinder sig. Problemet er bare, at det kan du ikke være sikker på, at du har - i hvert fald ikke, hvis du lægger dine data ud i skyen uden at tænke dig rigtig godt om og forbereder dig grundigt.

Businessman hand working with a Cloud Computing diagram on the new computer interface as concept

Dataansvarlig og databehandler

For mange virksomheder er det en naturlig følge af den digitale transformation, at applikationerne lægges ud i skyen. Det indebærer en lang række fordele - ikke mindst i forhold til stabilitet, agilitet og sikkerhed - men det betyder i sagens natur også, at du bliver afhængig af, at din cloud-leverandørs fortolkning af gældende regler matcher din egen. Og allerede her bliver det komplekst.

Lad os lige træde et halvt skridt tilbage og kigge på databehandleraftaler. En databehandleraftale er et juridisk bindende dokument mellem to parter - en dataansvarlig og en databehandler - som fortæller, hvordan databehandleren håndterer data på vegne af den dataansvarlige.

Uanset hvad er databehandleraftaler en god idé. Det er afgørende, at vi som individer - og virksomheder - kan stole på, at vores data bliver behandlet korrekt. Udfordringerne opstår som i mange andre tilfælde, når principper skal operationaliseres. For når vi vender tilbage til cloud-virkeligheden, sker der det, at den cloud-tjeneste eller virksomhed, du vælger, bliver til databehandler. Du er dataansvarlig og dermed ansvarlig for, at dine kunders data er i
sikre hænder, når du laver du en databehandleraftale med eksempelvis Amazon Web Services (AWS).

New call-to-action

 

Dermed burde du i teorien være på sikker grund, men det er ikke nødvendigvis tilfældet. For selvom både cloud-leverandørens og din egen databehandleraftale på sin vis er både korrekte og lever op til gældende lovgivning (hvilket i øvrigt altid vil være tilfældet for cloud-leverandørens vedkommende; det er nemlig en forudsætning for at være GDPR-compliant, og GDPR-compliance er en forudsætning for at kunne levere den ydelse), kan problemet
ligge i mødet mellem jeres respektive aftaler. Der er med andre ord risiko - og en vis sandsynlighed - for, at dokumenterne ikke er kompatible.

For en databehandleraftale er et juridisk dokument, og den slags er i sin natur komplekse størrelser. Ikke mindst fordi jura ikke pr. definition er entydig - der er rigtig meget, der er op til fortolkning.

langt billede

Udfordringer på tværs af grænser

Lad os vende tilbage til de store public cloud leverandører - eksempelvis AWS: Mange virksomheder - måske også din - har en standard databehandleraftale, hvori der står, at det skal være tydeligt, hvilken adresse ens data bliver opbevaret på. Men AWS vil udelukkende fortælle, at de opbevarer data, eksempelvis “i Frankfurt”.

På samme måde er det meget udbredt, at en databehandleraftale indeholder en passus om, at man som dataansvarlig skal kunne få fysisk adgang til det eller de datacentre, hvor ens data befinder sig. Her er (igen som eksempel) AWS’ politik, at det kan ikke lade sig gøre. 

Hvad med krypterede data? Mange har som krav i sin data-behandleraftale, at data ikke skal kunne tilgås af uvedkommende, og det fremgår af AWS' generelle betingelser, at data er krypterede, hvorfor deres medarbejdere ikke kan læse dem. Det er givetvis korrekt, men den forsikring holder bare ikke helt i praksis. Hvis du i din aftale med cloud-leverandøren har tilvalgt support, så kan leverandøren tilgå dine data. Denne udfordring kendes også som “follow the sun”-problemet, som er aktuelt, hvis databehandleren har et supportcenter, der eksempelvis ligger i Indien.

For at kunne yde support 24/7 lader cloud-leverandøren opgaven gå til en medarbejder, der sidder i et land, hvor den kan ordnes i dagtimerne. I den situation befinder dine data sig dermed i Indien, og hvad nu, hvis din databehandleraftale tilsiger, at dine data ikke må forlade Europa?

 

Krigsreglen gør arbejdet mere kompliceret

Vi ved godt, at vi ikke kan blive ved med at skabe rynker i panden, men der er en enkelt ting, vi bliver nødt til også at nævne - nemlig den såkaldte krigsregel. 

Screenshot 2020-01-10 at 14.48.34

Krigsreglen er en regel, der sætter begrænsninger for, hvilke data det offentlige må have liggende i udlandet. Reglen handler ikke om it-sikkerhed (det ligger i GDPR-regi), men om statens sikkerhed. Udfordringen med den regel er, at praksis blev ændret, da den nye
persondataforordning trådte i kraft 25. maj 2018, så det ikke længere er op til den enkelte offentlige instans at fortolke reglen. Nu ligger den opgave hos justitsministeren og den relevante resortminister, som sammen skal lave en såkaldt negativliste over, hvilke systemer der helt eller delvist skal opbevares inden for landets grænser. Men eftersom den enkelte minister har ret til at slette og tilføje systemer uden varsel, kan man ikke være sikker på, at listerne er up to date. Derfor kan man reelt ikke vide, hvilke it-systemer der skal blive i Danmark.

 

Alliér jer med en ekspert og høst fordelene

Med alle disse udfordringer in mente skal der nok sidde en enkelt beslutningstager eller to, der tænker, at det der public cloud lyder som en dårlig idé. Men det er en forhastet konklusion at drage.

En cloud-løsning vil for mange virksomheder stadig være det oplagte valg. Det at lægge sine applikationer op i skyen giver stabilitets- og sikkerhedsfordele, og cloud-skridtet er for mange virksomheder det om ikke uundgåelige, så det naturlige første skridt at tage i den digitale transformation.

Det er i den forbindelse vigtigt at understrege, at en underleverandør - om det så er Netic eller en af vores kolleger i branchen - ikke overtager ansvaret. Det er slet og ret ikke muligt
ifølge lovgivningen - en dataansvarlig kan ikke outsource ansvaret for sine data.

I sidste ende handler det om tillid. Ligesom i alle mulige andre sammenhænge i vores professionelle og i øvrigt også private liv er vi afhængige af hinanden, og vi er grundlæggende afhængige af, at de organisationer og personer, vi interagerer med, har de
bedste intentioner. 

Og så handler det om viden og overblik. Det er vanskeligt at forberede sig på den bedst mulige måde, stille de kritiske spørgsmål og gå aftaler igennem i sømmene, hvis man ikke er klædt på til det. Derfor anbefaler vi, at I allierer jer med eksperter, der forstår den kritiske infrastruktur og har specialister, der hjælper jer med teknikken, juraen og datasikkerheden.

Men det, underleverandøren kan gøre, er at lette hverdagen for dig som kunde ved at kvalificere dig til at tage dialogen med din cloud-leverandør. Herunder ved at være med til at udarbejde en databehandleraftale, der på bedst mulig vis skaber en fornuftig balance mellem dine og leverandørens krav og forventninger. En databehandleraftale, der skal være på plads, før du går i gang med at vælge, hvilken platform din infrastruktur og dine applikationer skal bygges på. Det vil spare dig for både tid og penge.

Screenshot 2020-01-14 at 11.40.04

 

Del indhold