Ny vejledning om offentlige myndigheders anvendelse af cloudservices
Skrevet af
Digitaliseringsstyrelsen har i samarbejde med Center for Cybersikkerhed udarbejdet en vejledning for anvendelse af cloudservices, som beskriver forskellige relevante problemstillinger i forbindelse med brugen af cloudservices og giver konkrete anvisninger til, hvordan vurderingen af cloudservices kan foretages. Vejledningen er primært rettet mod offentlige organisationer.
Forretningsmæssige overvejelser
Vejledningen påpeger, at offentlige organisationers valg af cloudservices bør være baseret på et forretningsmæssigt behov. Det kan eksempelvis være et behov for at benytte velafprøvede standardløsninger, ikke at skulle anskaffe egen it-infrastruktur eller et behov for at kunne foretage hurtig op- og nedskalering af en given it-kapacitet.
Det bør også overvejes, hvordan it-udvikling og drift skal organiseres, herunder hvilke kompetencer organisationen ønsker at have internt.
Sikkerhed ved behandlingen af personoplysninger i cloudløsninger
Risikovurdering
Der bør altid foretages en konkret risikovurdering af cloudløsningen bl.a. for at sikre overholdelsen af databeskyttelseslovgivningen.
Organisationer bør blandt andet afklare hvilke typer af personoplysninger, der vil blive behandlet i systemet. Hvis det vurderes, at behandlingen af personoplysninger vil udgøre en høj risiko for de registreredes rettigheder, skal der udarbejdes en konsekvensanalyse (en såkaldt DPIA). Brugen af cloudservices udløser ikke automatisk behovet for at udarbejde en konsekvensanalyse, men anvendelsen af ny teknologi kan forøge risikoen ved behandlingen.
Databehandleraftale
Den offentlige organisation, der anvender cloudservices til behandling af personoplysninger, vil være dataansvarlig, mens leverandøren af cloudservicen vil være databehandler. Der skal derfor indgås en databehandleraftale.
Databehandleraftalen skal ifølge databeskyttelseslovgivningen (GDPR) leve op til en række minimumskrav. Eksempelvis må cloudleverandøren udelukkende handle efter instruks fra den dataansvarlige. Som dataansvarlig har den offentlige organisation det fulde ansvar for, at den pågældende aftale lever op til databeskyttelseslovgivningen. Dette gælder uanset om leverandører af offentligt tilgængelige cloudservices udelukkende anvender egne standarddatabehandleraftaler.
Tredjelandsoverførsler
Hvis persondata bliver overført til et tredjeland, er det vigtigst at sikre sig, at de særlige regler om overførsel af personoplysninger til tredjelande i databeskyttelsesforordningen bliver iagttaget. Spørgsmålet om overførsel til tredjelande er særligt relevant ved brugen af cloudservices, fordi de store cloudleverandører råder over datacentre i hele verden og data flyttes imellem disse. Det skal derfor vurderes, om der sker en overførsel til et usikkert tredjeland – uanset i hvilket led i leverandørkæden og i givet fald etableres et lovligt overførsels- og behandlingsgrundlag.
Krigsreglen
Ifølge databeskyttelseslovens § 3, stk. 9, kan justitsministeren efter forhandling med vedkommende minister fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte it-systemer, og som føres for den offentlige forvaltning, helt eller delvist alene må opbevares her i landet. Hvis et system er omfattet af denne regel, skal systemet placeres i Danmark af hensyn til statens sikkerhed, hvilket i givet fald vil være en barriere for brugen af en offentlig cloudløsning.
Sikkerhed og kontrol
Den dataansvarlige skal gennem tekniske og organisatoriske foranstaltninger sikre sig en effektiv implementering af de grundlæggende databeskyttelsesprincipper, opfyldelse af kravene i forordningen og beskyttelse af registreres rettigheder.
Offentlige organisationer har ansvaret for dataenes sikkerhed i it-systemerne, og det er derfor vigtigt, at de som dataansvarlige sikrer sig, at cloudløsningen har et passende it-sikkerhedsniveau. Anvendelsen af cloudbaserede løsninger kan have nogle sikkerhedsmæssige udfordringer, blandt andet fordi det kan være sværere for anvenderen at kontrollere sikkerheden. Kontrollen kan eksempelvis foretages på basis af dokumentation fra leverandøren i form af certificeringer, revisionsrapporter, sikkerhedslogs og anden relevant dokumentation fra en uafhængig tredjepart.
Sikkerhedsniveauet skal afspejle den foretagne risikovurdering. Den offentlige organisation bør derfor få kortlagt de sikkerhedsmæssige og persondataretlige risici forbundet med brugen af den valgte cloudløsning.
Bird & Bird vil til morgenseminaret den 25. februar 2020 komme nærmere ind på en række af de problemstillinger, som fremhæves i vejledningen. Der er stadig få ledige pladser.
