Dette indlæg er alene udtryk for skribentens egen holdning.
Blogindlæg

GDPR vs cloud: Her er de fem største udfordringer

7. februar kl. 05:004
Privatfoto
Illustration: Privatfoto.
Jesper Løffler Nielsen
Artiklen er ældre end 30 dage
Jesper Løffler Nielsen

Før jul skrev jeg et indlæg med overskriften ”GDPR vs. cloud” , hvori jeg kort præsenterede baggrunden for, at det i de senere år er blevet så ”compliancetungt” at bruge cloudløsninger indenfor rammerne af GDPR. Alene indenfor den seneste måned er der kommet to dokumenter, som tegner et dystert billede af mulighederne for lovligt at bruge cloudløsninger:

Læs hele artiklen

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder.

Få 3 ugers gratis prøveabonnement. Betalingskort er ikke påkrævet, og du bliver ikke flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Få prøveabonnementLog ind
IDA-medlemmer og PLUS-abonnenter kan gratis læse op til 6 artikler om måneden. Maks. 1 artikel pr. PRO-medie.
Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
4 kommentarer.  Hop til debatten

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
Dennis Benneballe Arnold-Grade
8. februar kl. 13:12

En ting jeg som ikke-teknisk uddannet person spørger mig selv ift. den definition af cloud, er om hvor unilateralt man overhovedet kan agere hos GCP, AWS og MS Azure. Hvis cloudprovideren har problemer med hvor meget de kan hoste for deres dyreste kunder, vil de så ikke kunne finde på at udelukke de mindre kunder kortvarigt, så de kan redde deres rygte overfor de store? Kan man stole på, at man ikke nedgraderes og bare kan upscale til nær-uendelige mængder regnekraft? Er der heller ikke noget loft ift. usage? Jeg mener... er det virkelig så unilateral, som vi går og tror, nu da det ikke er vores eget jern?

  • more_vert
    • insert_linkKopier link
Skrevet på Version2
3
Martin Dahl
6. februar kl. 15:37

Det er synd at mudrede definitioner af hvad cloud er, skal komplicere sagerne.

F.eks. burde det ift. GDPR være ganske ligegyldigt om en leverandør tilbyder on-demand adminstration af antallet af eller størrelsen på servere eller virtuelle servere.

Det burde være ligegyldigt om det er virtuelle eller fysiske servere, og ligegyldigt om der lagres een enkelt email i en flad fil på en fysisk harddisk eller vores samlede genom eller skattekonti i en distribueret database.

I ALLE andre tilfælde end når en leverandør selv hoster de fysiske maskiner, og ingen eksterne har adgang til disse og deres services/data, så har denne leverandør et forhold til en underleverandør, som leverandøren sender/leverer data til.

Den underleverandør passer rekursivt i samme definition. Skildpadder hele vejen ned. Indtil en underleverandør ejer og sikrer de fysiske maskiner.

Når en dataansvarlig vælger en leverandør (databehandler) eller en leverandør vælger en underleverandør (underdatabehandler) så er man ansvarlig for at den næste i kæden, som man selv VÆLGER at levere data til, overholder GDPR. Ellers overholder man jo ikke selv GDPR.

Alle EU virksomheder, som bruger ufattelige ressourcer for at imødekomme lovgivningen, og være relevante leverandører for ansvarlige EU kunder, er stillet langt dårligere end konkurrerende amerikanske (cloud) leverandører.

Indtil der falder domme med store bøder, så siger man næsten til EU kunder, at det bedst kan betale sig at købe services af ikke-EU leverandører, fordi de kan levere billigere da de ikke behøver at overholde GDPR.

Smart trick af Google og Microsoft at "Betragte sig selv som dataansvarlige". Det kunne være at alle EU leverandører også bare skulle gøre det, så man ikke behøver at spilde tid med at afklare den slags opstrøms.

  • more_vert
    • insert_linkKopier link
Skrevet på Version2
1
Povl H. Pedersen
6. februar kl. 10:52

Cloud er bare datacenter. Og det faktum at at NSA har adgang til data ændres ikke ved at datacenteret hedder Azure fremfor IBM Datacenter, eller DXC. Det er nøjagtigt det samme. Men man går stille med det, da alt for meget offentligt er drevet af onde NSA agenter. Sundhedsplatformen som er valgt i Region Hovedstaden er vel amerikansk. Den kan dermed per definition ikke sikres. Hvis NSA beder leverandøren om at lave en bagdør, eller uploade alle data, så skal det ske.

"Cloud" er også blevet det nye i private datacentre, det hedder bare private cloud. Samme teknologier. Drevet af samme uregulerede amerikanske selskaber. Og med cloud definitionen ovenfor, så er der cloud i private datacentre. Det eneste der mangler er i visse tilfælde den brede internet forbindelse ind, men den kan kunden få etableret efter ønske.

Så det hele bunder i, kan man stole på sin leverandør ? Specielt på amerikanske leverandører som er underlagt udemokratiske regler.

  • more_vert
    • insert_linkKopier link
Skrevet på Version2
2
Klavs Klavsen
6. februar kl. 11:50

Cloud er ikke bare et datacenter det er faktisk værre. I et normalt datacenter kører du dine EGNE servere - som du fysisk sikrer (krypteret disk, låser skabslåge osv.) - så INGEn i datacenteret kan kommetil dine data hvis ikke de er dine medarbejdere. I Cloud kører du på ANDRES servere - så du kan IKKE undgå at de medarbejdere kan få tilgang til dine data - deri problemet.

  • more_vert
    • insert_linkKopier link
Skrevet på Version2