Våra senaste
toppartiklar

- Computer Sweden:

Android 5

Så blir nästa
Android


- IDG.se:

Gasfabrik

Monstermaskinerna
som utvinner gaser


Foto: Yisris (CC) - Computer Sweden:

SJ

Skickade felaktigt
fakturor - nu fälls SJ


- Computer Sweden:

Ellisons halva avgång
- bäddar för trubbel


- TechWorld:

Pul-stormen hotar molnet






"Dagens dataskyddslagstiftning är i vissa avseenden svår att förena med det som vi i dag kallar för molntjänster. "



Efter en försiktig start har molnet på allvar börjat bli ett alternativ för bolag och myndigheter. Många drömmer om att slippa hantera lokal infrastruktur och i stället helt fokusera på applikationer och tjänster. Men det finns ett problem som många förbiser: Personuppgiftslagen, Pul.


Lagen har EU-stöd
Lagen, som bygger på EU:s dataskyddsdirektiv, har bara ett dussintal år på nacken, men har ändå hunnit bli rejält omskriven och kritiserad. Många internetbaserade företag har haft svårt att förlika sig med det femtiotal paragrafer som lagen består av. Ännu fler har inte ens bemödat sig med att läsa igenom den, och det kan visa sig vara ett ödesdigert misstag när det är dags att kliva ut i molnet.

Lagens syfte är att skydda alla medborgares personliga integritet genom att reglera hur uppgifter om individer lagras och behandlas. Den förbjuder lagring av viss information och kräver hög säkerhet om du sparar känslig data. Brott mot bestämmelserna kan i värsta fall leda till hela två års fängelse.

Lagen gäller för alla tillfällen, men läget blir extra komplicerat just i molnet. Orsaken är att ansvaret för hur informationen hanteras ligger kvar hos ditt företag oavsett vem som sköter hanteringen i praktiken. Därför måste avtalen vara vattentäta.

Ägaren till informationen kallas för personuppgiftsansvarig och är ytterst ansvarig för hanteringen. Även om det låter som en individ omfattar begreppet framför allt juridiska personer – de anställda som praktiskt jobbar med uppgifterna anses normalt bara vara medhjälpare. Omständigheterna bestämmer vem som ska straffas om det går så långt.


Molnet måste godkännas
Molnleverantören blir å sin sida ett personuppgiftsbiträde, med allt som kommer med denna titel. Men för att den utnämningen ska vara godkänd krävs, enligt 30 paragrafen i Pul, att det finns ett personuppgiftsbiträdesavtal påskrivet där leverantören tar på sig det ansvaret. Åtagandet sker alltså inte per automatik bara för att någon annan hanterar informationen.

Just denna punkt är en knepig nöt att knäcka, eftersom reglerna långt ifrån alltid står inskrivna i standardavtalen. Internationella jättar är heller inte alltid villiga att skriva kontrakt med lokala regler, vilket inte gör någonting lättare, i synnerhet inte för mindre företag. De gör ofta bäst i att samtala med mindre leverantörer.

Det som gör skrivningen ännu värre är att den personuppgiftsansvarige förväntas ha kännedom om alla underleverantörer. Om dessa kan komma åt informationen måste de nämligen också ha skrivit på motsvarande avtal. Detta gäller till exempel såväl din irländska driftspersonal som din indiska supportavdelning.

Tyvärr slutar inte problemen här. Under paragraf 31 i Pul kan du till exempel läsa att det är den personuppgiftsansvariges skyldighet att se till att personuppgiftsbiträdet kan skydda informationen. Dessutom måste kontroller av molnleverantörens säkerhet utföras.

Även åtkomstloggar måste gå att få fram. De ska innehålla uppgifter om alla som kommit åt informationen på ett eller annat sätt. Det här gäller oavsett om det är den personuppgiftsansvarige eller personuppgiftsbiträdet som kikat på posterna.

Ytterligare ett problem är att det normalt är förbjudet att skicka Pul-skyddad data till ett annat land, och transport över gränserna är ju nära nog regel om du överväger att använda någon av de riktigt stora leverantörerna. Deras datorhallar står oftast i ett annat land än Sverige.


Safe harbour-principerna

Amerikanska Department of Commerce har tillsammans med EU tagit fram en uppsättning riktlinjer för att hjälpa företag anpassa sig till EU:s datalagringsdirektiv:

Förvarning: Enskilda personer måste informeras om att deras uppgifter samlas in och hur dessa ska användas.

Valfrihet: Enskilda personer måste ha möjlighet att välja bort insamling och vidare överföring av uppgifter om dem till tredje part.

Vidare överföring: Överföring av uppgifter till tredje part får endast ske till andra organisationer som följer samma regelverk för uppgiftsskydd.

Säkerhet: Rimliga ansträngningar måste göras för att förhindra förlust av insamlad information.

Dataintegritet: Information måste vara relevant och tillförlitlig för det ändamål den insamlades för.

Åtkomst: Enskilda personer måste kunna få tillgång till information som finns om dem och korrigera eller ta bort den om den är felaktig.

Verkställighet: Det måste finnas medel för att säkerställa regelverket.


Sida 1 / 3

Innehållsförteckning

Sida 1 / 3

Whitepaper


Slumpgen 1

PASSA PÅ!

Här är det viktigaste inom e-handel just nu



Artikelkommentatorerna ansvarar själva för sina inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg.
Vi har nolltolerans mot inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande. Även poänglösa datorkrigsinlägg och inlägg som är off topic tas bort. Brott mot reglerna kan leda till permanent avstängning.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla idg.se@idg.se

Läs mer om vår policy i diskussionsforum


Rekryterar just nu

Utvalda whitepaper

Konvertera snack till pengar
Flash Storage for Dummies
CRM i molnet betalar sig

Nyhetsbrev

Anmäl dig till vårt dagliga nyhetsbrev!

Morgonens viktigaste it-nyheter och Dagens Dilbert

Please don't insert text in the box below! Please don't insert text in the box below! Villkor

Nyheter

- Computer Sweden:

Linux

Historien om
Linux genombrott


- TechWorld:

Venus

Så kan vi landa på Venus


mobilspel

Här är de 55 roligaste spelen till din mobil

Här är ett gäng verkliga guldkorn att roa dig med.


- Computer Sweden:

Android 5

Så blir nästa
Android

- IDG.se:

Gasfabrik

Monstermaskinerna
som utvinner gaser


- PC för Alla:

Asus Zenbook

Asus Zenbook: Ultrabook med extra växel


- Computer Sweden:

Nätfiske

Svenska vd:ar sämst på att genomskåda nätfiske


- IDG.se:

It-veckan

It-veckan: "Nu är det upp till bevis, Apple!"

- IT24:

Samsung

Ny slakt på Samsung


- MacWorld:

IOS

Här är skillnaderna mellan IOS 7 och IOS 8


- TechWorld:

telepati

Telepati ett steg närmare verklighet


Foto: Yisris (CC) - Computer Sweden:

SJ

Skickade felaktigt
fakturor - nu fälls SJ


- PC för Alla Extreme:

Sony-mobiler

Hela IFA-mässan 2014 - på bara 15 minuter


- Computer Sweden:

RSA

Så ska RSA skydda sig mot angrepp

- TechWorld:

Moxie Marlinspike

Säkerhetslegenden: "Full kryptering för alla är lösningen"


- Internetworld:

Facebook

Han fick sin profilbild raderad av Facebook


- IT24:

Alibaba

Så rustar Alibaba för e-handelskrig


"Ellisons halva
avgång bäddar
för trubbel"

Kommentar Oracles Larry Ellison avgår, men ändå inte. Frågan är hur det kommer att fungera, undrar Lars Danielsson.


- Computer Sweden:

Nokia

Fortsatt kräftgång - då satsar Microsoft på lågprislurar


- TechWorld:

Office 16

Här är nyheterna i Office 16

Nyhetsbrev
Kontakta oss
Postadressen är:
IDG.se, Karlbergsvägen 77, 106 78 Stockholm

Telefon (växel): 08-453 60 00

Ansvarig utgivare: Carl Grape



Om IDG.se
Copyright © International Data Group