Våra senaste
toppartiklar

- Computer Sweden:

Linux H&M

De har kassan
full av Linux


Foto: Lars Danielsson / Mario Klingemann (CC) - Computer Sweden:

Cobol

Kravet: "Inför Cobol
i undervisningen"


- Computer Sweden:

Stetoskop

Megaupphandling
när SLL byter avtal


- Computer Sweden:

Shodan

Hackarnas älskling
kartlägger internet


- TechWorld:

Pul-stormen hotar molnet






"Dagens dataskyddslagstiftning är i vissa avseenden svår att förena med det som vi i dag kallar för molntjänster. "



Efter en försiktig start har molnet på allvar börjat bli ett alternativ för bolag och myndigheter. Många drömmer om att slippa hantera lokal infrastruktur och i stället helt fokusera på applikationer och tjänster. Men det finns ett problem som många förbiser: Personuppgiftslagen, Pul.


Lagen har EU-stöd
Lagen, som bygger på EU:s dataskyddsdirektiv, har bara ett dussintal år på nacken, men har ändå hunnit bli rejält omskriven och kritiserad. Många internetbaserade företag har haft svårt att förlika sig med det femtiotal paragrafer som lagen består av. Ännu fler har inte ens bemödat sig med att läsa igenom den, och det kan visa sig vara ett ödesdigert misstag när det är dags att kliva ut i molnet.

Lagens syfte är att skydda alla medborgares personliga integritet genom att reglera hur uppgifter om individer lagras och behandlas. Den förbjuder lagring av viss information och kräver hög säkerhet om du sparar känslig data. Brott mot bestämmelserna kan i värsta fall leda till hela två års fängelse.

Lagen gäller för alla tillfällen, men läget blir extra komplicerat just i molnet. Orsaken är att ansvaret för hur informationen hanteras ligger kvar hos ditt företag oavsett vem som sköter hanteringen i praktiken. Därför måste avtalen vara vattentäta.

Ägaren till informationen kallas för personuppgiftsansvarig och är ytterst ansvarig för hanteringen. Även om det låter som en individ omfattar begreppet framför allt juridiska personer – de anställda som praktiskt jobbar med uppgifterna anses normalt bara vara medhjälpare. Omständigheterna bestämmer vem som ska straffas om det går så långt.


Molnet måste godkännas
Molnleverantören blir å sin sida ett personuppgiftsbiträde, med allt som kommer med denna titel. Men för att den utnämningen ska vara godkänd krävs, enligt 30 paragrafen i Pul, att det finns ett personuppgiftsbiträdesavtal påskrivet där leverantören tar på sig det ansvaret. Åtagandet sker alltså inte per automatik bara för att någon annan hanterar informationen.

Just denna punkt är en knepig nöt att knäcka, eftersom reglerna långt ifrån alltid står inskrivna i standardavtalen. Internationella jättar är heller inte alltid villiga att skriva kontrakt med lokala regler, vilket inte gör någonting lättare, i synnerhet inte för mindre företag. De gör ofta bäst i att samtala med mindre leverantörer.

Det som gör skrivningen ännu värre är att den personuppgiftsansvarige förväntas ha kännedom om alla underleverantörer. Om dessa kan komma åt informationen måste de nämligen också ha skrivit på motsvarande avtal. Detta gäller till exempel såväl din irländska driftspersonal som din indiska supportavdelning.

Tyvärr slutar inte problemen här. Under paragraf 31 i Pul kan du till exempel läsa att det är den personuppgiftsansvariges skyldighet att se till att personuppgiftsbiträdet kan skydda informationen. Dessutom måste kontroller av molnleverantörens säkerhet utföras.

Även åtkomstloggar måste gå att få fram. De ska innehålla uppgifter om alla som kommit åt informationen på ett eller annat sätt. Det här gäller oavsett om det är den personuppgiftsansvarige eller personuppgiftsbiträdet som kikat på posterna.

Ytterligare ett problem är att det normalt är förbjudet att skicka Pul-skyddad data till ett annat land, och transport över gränserna är ju nära nog regel om du överväger att använda någon av de riktigt stora leverantörerna. Deras datorhallar står oftast i ett annat land än Sverige.


Safe harbour-principerna

Amerikanska Department of Commerce har tillsammans med EU tagit fram en uppsättning riktlinjer för att hjälpa företag anpassa sig till EU:s datalagringsdirektiv:

Förvarning: Enskilda personer måste informeras om att deras uppgifter samlas in och hur dessa ska användas.

Valfrihet: Enskilda personer måste ha möjlighet att välja bort insamling och vidare överföring av uppgifter om dem till tredje part.

Vidare överföring: Överföring av uppgifter till tredje part får endast ske till andra organisationer som följer samma regelverk för uppgiftsskydd.

Säkerhet: Rimliga ansträngningar måste göras för att förhindra förlust av insamlad information.

Dataintegritet: Information måste vara relevant och tillförlitlig för det ändamål den insamlades för.

Åtkomst: Enskilda personer måste kunna få tillgång till information som finns om dem och korrigera eller ta bort den om den är felaktig.

Verkställighet: Det måste finnas medel för att säkerställa regelverket.


Sida 1 / 3

Innehållsförteckning

Sida 1 / 3

Whitepaper



Slumpgen 2

PASSA PÅ!

Här är det viktigaste inom e-handel just nu


Artikelkommentatorerna ansvarar själva för sina inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg.
Vi har nolltolerans mot inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande. Även poänglösa datorkrigsinlägg och inlägg som är off topic tas bort. Brott mot reglerna kan leda till permanent avstängning.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla idg.se@idg.se

Läs mer om vår policy i diskussionsforum


Rekryterar just nu

Utvalda whitepaper

Cloud-as-a-Strategy
Flasha med närminnet
De 10 BYOD-orden

Nyhetsbrev

Anmäl dig till vårt dagliga nyhetsbrev!

Morgonens viktigaste it-nyheter och Dagens Dilbert

Please don't insert text in the box below! Please don't insert text in the box below! Villkor

Nyheter

Foto: Karlis Dambrans (CC) - PC för Alla:

Galaxy Note 4

Därför ger Galaxy
Note 4 ger ett
förvirrat intryck


- TechWorld:

Jörgen Städje

"Under över alla Uber"


- Computer Sweden:

Linux H&M

De har kassan
full av Linux


- MacWorld:

Palm Pilot

8 saker som kunde blivit Iphone

- IDG.se:

Här är vinnaren i Drömluren-tävlingen


- PC för Alla:

Nokia

Så här kommer framtida Lumia att se ut


Foto: Lars Danielsson / Mario Klingemann (CC) - Computer Sweden:

Cobol

Kravet: "Inför Cobol
i undervisningen"


- M3:

Raspberry Pi

Raspberry Pi får pekskärm

- Internetworld:

Julia Skott

"Modeindustrin blöder på nätet - och det är mitt fel"


- M3:

Kjell Häglund

"Strular med livestreamingen – och skyller på kunden"


- Computer Sweden:

Stetoskop

Megaupphandling
när SLL byter avtal


- PC för Alla Extreme:

3dmark

Överklockare spränger drömgräns för grafikkort



- CIO Sweden:

lås

Varannan anställd lämnar ut sitt lösenord

- Computer Sweden:

Rooms

Här är Facebooks anonyma chattapp Rooms


- MacWorld:

Apple

Rekordnivå för Apples aktie


- Computer Sweden:

Fire

Amazon tyngs av svårsålda Fire-telefoner


- TechWorld:

Marcus Murray

"Vi är på väg in i en helt ny it-värld"


- Computer Sweden:

Shodan

Hackarnas älskling
kartlägger internet


- Internetworld:

Internetworldpodden

Podd: "Google Inbox är grymt, men ..."

Nyhetsbrev
Kontakta oss
Postadressen är:
IDG.se, Karlbergsvägen 77, 106 78 Stockholm

Telefon (växel): 08-453 60 00

Ansvarig utgivare: Carl Grape



Om IDG.se
Copyright © International Data Group