SecurityWorldMarket

08-08-2022

Datatilsynet: Det skal du have styr på vedrørende cloud

Datatilsynet offentliggør nu det spørgeskema, som tilsynet har brugt i forbindelse med en række nylige tilsyn med brugen af cloud. Spørgeskemaet kommer omkring de fleste punkter, man som dataansvarlig skal være opmærksom på, hvis man benytter sig af cloud.

IT-Branchen har nærlæst spørgeskemaet og opsummerer på følgende måde:

Start med en risikovurdering

Når virksomheder eller myndighed vælger at benytte cloudservices, skal de ifølge Datatilsynet altid starte med at udarbejde en risikovurdering.

I risikovurderingen skal man ikke blot kunne forklare, hvad cloudservicen skal behandle af persondata, men også hvilke politiker og procedurer man har implementeret for at sikre, at virksomheden overholder lovkravene i databeskyttelsesforordningen.

Hvad Datatilsynet især lægger vægt på i risikovurderingen, kan man se i spørgeskemaets spørgsmål 8-16.

Undersøg cloud-leverandøren

Inden man vælger sin endelige cloudleverandør, anbefaler Datatilsynet, at man screener de forskellige leverandører for sikre, at de lever op til GDPR-kravene.

Som it-virksomhed kan man derfor forvente, at ens kunder vil stille spørgsmål til jeres behandlingssikkerhed, processer for registreredes rettigheder, underretning om sikkerhedsbrud og håndtering af evt. underdatabehandlere.

De konkrete spørgsmål som Datatilsynet stiller vedr. dette, kan du se i spørgeskemaets spørgsmål 17-32.

Løbende tilsyn med cloudleverandørerne

Som dataansvarlig har virksomhederne og myndighederne pligt til løbende at føre tilsyn med deres databehandlere for at sikre, at de – på samme måde som virksomheden selv – behandler oplysningerne forsvarligt.

Det gælder også, når man overlader databehandlingen til en eller flere cloudleverandører.

Datatilsynet vil ved et tilsyn derfor spørge ind til, hvilke procedurer/årshjul man har implementeret for at sikre, at cloudleverandøren overholder lovkravene i persondataforordningen.

Hvor ofte man skal følge op på sin leverandører, kommer i høj grad an på ens risikovurdering vedrørende behandlingssikkerhed og den screening, virksomheden har foretaget af leverandøren.

Du kan se, hvad Datatilsynet konkret spørger ind til i spørgsmål 33-38 i spørgeskemaet, og hvad man som it-leverandør derfor kan forvente at blive mødt med at spørgsmål og krav fra virksomhedernes side.

Overførsel af personoplysninger til 3. lande

Datatilsynet spørger ved et tilsyn også ind til, om man benytter sig af cloudleverandører, der placerer data udenfor EU, i det man kalder tredjelande.

Her skal virksomhederne og myndighederne kunne svar på, i hvilke lande data i så fald placeres og om det er lovligt at overføre data til netop dette land – f.eks. ved brug af EU’s standardkontrakter.

De præcise spørgsmål, som Datatilsynet stiller ved et tilsyn vedr. dette, kan du se i spørgsmål 39-47 i spørgeskemaet.

Spørgeskemaet kan downloades fra Datatilsynets hjemmeside.




Leverandører
Tilbage til toppen