Skyplattformer gir GDPR-frykt

Microsoft: Slapp av - Dynamics 365 og alle Microsoft-tjenester vil følge GDPR

Satya Nadella Microsoft Dynamics GDPR compliant

Garantert GDPR-sikkert: Microsoft-sjef Satya Nadella passer på at alle selskapets skytjenester vil følger GDPR-reglene. FOTO: Microsoft

Bruken av skytjenester skaper GDPR-frykt i mange selskaper: følger de globale skyplattformene de nye kravene til personvern?

Microsoft understreker at i hvert fall Dynamics 365 vil følge EUs nye personvernforordning.

 

– Det er ikke enkelt å følge EUs nye personvernforordning, GDPR, men for å gjøre det lettere for selskaper rundt omkring, forplikter vi i Microsoft oss til at alle våre skytjenester følger GDPR-kravene fra 25. mai 2018, sier Brendon Lynch, Microsofts direktør for personvern.

Den 25. mai 2018 trer EUs nye personvernforordning, GDPR, i kraft. GDPR skal harmonisere personvern knyttet til informasjons- og datainnsamling på tvers av Europa. Målet er å beskytte EU-borgernes rett til personvern og å endre måten selskaper og organisasjoner forholder seg til personvern på.

– Microsoft har lenge ledet an i kampen for individets personvern og vi mener GDPR er et viktig skritt for å klargjøre hvilke rettigheter som gjelder samt gjør det mulig  å ivareta den enkeltes personvern, sier Andrea Simandi. Hun jobber som advokat i Microsoft med GDPR som ansvarsområde.

GDPR har tvunget seg frem blant annet på grunn av fremveksten av globale IT-giganter, som Facebook og Google, som lever av å samle inn personlig informasjon. Personlige data er blitt en vare på linje med fysiske produkter. På toppen kommer stadig nye teknologiske muligheter rundt innsamling, sammenstilling og analyse av data.

Store organisasjonsendringer

Simandi forteller at Microsoft, i samarbeid med flere av selskapets kunder, har startet arbeidet for å sikre at man håndterer de nye kravene til personvern på riktig måte.

– Vår erfaring er at GDPR gir store organisatoriske og strukturelle endringer i selskaper over hele verden, sier Simandi.

Hun understreker imidlertid at (nye) IT-løsninger alene ikke gjør at man automatisk følger kravene i GDPR.

– Vår skyløsninger kan hjelpe selskaper til å overholde GDPR-reglene, men det er viktig å huske på at IT-systemer alene ikke er nok til å gi et selskap et GDPR-godkjent-stempel. Hver enkelt virksomhet må forsikre seg om at alle prosesser, prosedyrer og systemer følger den nye EU-forordningen, understreker Simandi.

Tøffe IT-krav

Likevel skal man overholde de nye personvernreglene stiller det store krav til hvordan personlige data og informasjon håndteres i systemene.

Her er noen av de viktigste GDPR-kravene en IT-løsning må takle:

* Alle personlige data skal kunne slettes på forespørsel.

* Sikkerhet og personvern skal være bygd inn i IT-systemene.

* Dataene skal være mulig å overføre til andre (IT-)selskaper og/eller tjenesteleverandører.

* Data og informasjon må ligge på servere som fysisk befinner seg i EU-/EØS-området, om ikke den enkelte person har bedt om eller godtatt at de kan flyttes ut av området.

Mange verktøy

Microsofts skyløsning for forretningssystemer, Dynamics 365, har flere verktøy som gjør det mulig å finne alle data knyttet til én person og eventuelt slette dem. Personlige data kan også trekkes ut i for eksempel Excel, hvor de kan bearbeides videre og eksporteres i standardformater som csv eller xml. Det gjør at man kan overføre data og informasjon til andre aktører i et standard format.

Microsoft tilbyr også flere verktøy i Dynamics 365 som gjør det mulig å begrense tilgangen til persondata på ulike nivåer, knyttet til tjenester og/eller roller/medarbeidere.

"Privacy by default and design", som GDPR krever, er innebygd i Dynamics 365.

Dynamics 365 er utviklet ved hjelp av Microsoft Secure Development Lifecycle. Der er "privacy by default" og "privacy by design" en del av metodikken i henhold til Microsofts regler rundt personvern. I tillegg testes flere Dynamics 365-tjenester årlig opp mot en rekke internasjonale personvern- og sikkerhetsstandarder, inkludert ISO/IEC 27018.

På toppen er data og informasjon kryptert, både lagret og når de transporteres mellom ulike lokasjoner og tjenester. Informasjonen ligger på servere som står i EU- og EØS-området.

Store investeringer i personvern

Microsofts personverndirektør, Lynch, understreker at IT-giganten gjør store investeringer knyttet til sikkerhet og personvern i skytjenestene, investeringer som også understøtter kravene i GDPR:

– Vi er forpliktet i henhold til egne prinsipper rundt å bygge tillitsvekkende skytjenester, bygget på sikkerhet, personvern, åpenhet og etterlevelse av lover og regler.

Microsofts forpliktelser til å følge GDPR er nedfelt i kundelisensavtalene "Online Services Therms" fra mars 2017, som omfatter forpliktelser til å være GDPR-kompatible.

De nye personvernreglene vil gjelde likt i alle EU- og EØS-land og omfatter all databehandling av borgernes personlige data, uavhengig av hvor i verden det behandlende selskapet befinner seg eller dataene behandles.

I Norge er det Datatilsynet som er tilsynsmyndighet og passer på at GDPR overholdes.

Her kan du lese mer om Microsofts forpliktelser rundt GDPR.

Trenger du hjelp til å få ditt selskap GDPR-klart? Sjekk EGs tilbud her.

 

Fire GDPR-råd fra Microsoft

Microsoft råder alle virksomheter til å gå gjennom fire punkter på veien til å etterfølge GDPR.

1. Undersøk

Finn ut hvilke persondata man har og hvor/i hvilke systemer de håndteres.

2. Organiser

Administrer hvordan persondata blir brukt og hvem som har tilgang til dem.

3. Beskytt

Få på plass sikkerhetsløsninger for å sikre informasjonen samt å avsløre sårbarheter og respondere på datainnbrudd.

4. Rapporter

Svar på forespørsler som omhandler informasjon, rapporter om datainnbrudd og sørg for nødvendig dokumentasjon.

Annonse
Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Annonse
Andre leser også
Annonse