GDPR er kundens ansvar – også i skyen
Brian J. Wagner, Compliance Specialist, Financial Services hos Amazon Web Services

GDPR er kundens ansvar – også i skyen

Virksomheder der flytter data og tjenester op i skyen har stadig det overordnede ansvar for at overholde persondataforordningen. IT-Reload har snakket med Amazon Web Services om krav og forventninger til skyen og GDPR

Af Lars Bennetzen

Cloud computing bliver stadig mere populær hos virksomheder. Men i disse GDPR-tider er der et ekstra lag der skal tages højde for, inden virksomhederne beslutter, hvor og hvordan de flytter op i skyen.

IT-Reload tog en snak med Brian J. Wagner, Compliance Specialist, Financial Services hos Amazon Web Services om Cloud Computing og GDPR.

Siden sidste år har GDPR været en realitet. Men hvordan hænger GDPR Compliance og cloud-tjenester sammen?

- Sikkerhed og compliance er et delt ansvar. Det ligger ikke kun et sted. Hos Amazon Web Services har vi en model med delt ansvar når det kommer til GDPR og vores kunder. Vi tilbyder infrastrukturlaget og den hardware der hører til. Vores kunder kan så bruge den til at sikre at de overholder GDPR, siger Brian J. Wagner og fortsætter:

- GDPR er og bliver kundens ansvar. De skal beslutte hvad GDPR betyder for dem, og hvor de gemmer deres data. Her er der en del regler som følger med GDPR, for i bund og grund så handler GDPR om brugernes data. I vores model har brugerne fuld kontrol over deres data, hvordan de beskytter dem, hvem der har adgang til dem og hvor de fysisk er gemt. Det er altid kundens ansvar.

Så selvom du har en cloud-udbyder, så er du altid i førersædet og har selv ansvaret for at data er sikret korrekt i forhold til GDPR?

- Ja, kunderne skal bruge tjenesterne og konfigurere dem så de opfylder persondataforordningen, og den fleksibilitet stiller vi til rådighed for vores kunder. Det gælder også hvis der er specielle krav som deres egen virksomhed måtte have, forklarer Brian J. Wagner.

Ikke automatisk GDPR-compliant

En af de påstande jeg fra tid til anden hører er, at en virksomhed kan blive GDPR-compliant ved at vælge en cloud-udbyder der understøtter GDPR, er det korrekt?

- Nej absolut ikke. Godt nok understøtter en virksomhed som AWS (Amazon Web Services, red.) de krav GDPR stiller til datahåndtering, men du bliver ikke compliant bare ved at vælge en given udbyder, siger Brian J. Wagner og fortsætter:

- De tjenester vi har hos AWS er GDPR-klare. Det vil sige at kunderne kan bruge dem, så de opfylder de GDPR-krav der måtte være gældende for dem. Det betyder at når vi siger, at vores tjenester er GDPR-klare så kan vores kunder bruge vores tjenester på en sådan måde, at de kan opfylde de nødvendige GDPR-krav. Det kan f.eks. være at slette brugerdata og så videre.

Han fortæller at en virksomhed som AWS skal have en GDPR-statement der siger, at kunder skal kunne slette data på forlangende.

Men hvordan kan kunderne være sikker på at det sker? Hvordan kan de være helt sikker på at data rent faktisk slettes fra alle backup?

- Her handler det om at være gennemsigtig. Og vores gennemsigtighed handlerom vores infrastruktur. Alt vi arbejder med er virtuelt, altså naturligvis har vi en fysisk infrastruktur med servere hvor data ligger på, men ellers er det virtuelt. Måden vi giver synlighed i hvordan vi arbejder, er gennem vores internationale standarder, fortæller Brian J. Wagner og fortsætter.

- F.eks. er alle vores kommercielle regioner certificerede gennem ISO 27017, der handler om sikkerhed i skyen, og ISO 28018 der omhandler privacy, og vores SOC-rapport der viser, hvordan vores operationelle fremgangsmåder er – ikke mindst hvordan data slettes.

Han fortæller at alt tilbydes til deres kunder gratis, og at alt er valideret gennem 3. parter og certificeret.

Så de certificeringer er kundernes bekræftelse på, at alt kan slettes?

- Ja det er korrekt.

Er det din opfattelse, at kunderne rent faktisk spørger efter dem og tjekker standarderne?

- Ja det gør det hele tiden. Det er en stor del af GDPR at kunne slette data, og vores kunder tager det meget seriøst. De spørger efter certificeringer og de henter vores SOC-rapport, forklarer Brian J. Wagner.

Kontrol over data

Det bringer mig så til næste del af GDPR: Hvor gemmes data. Har I som Cloud-udbyder mulighed for at lade jeres kunder vælge præcist hvor deres data gemmes? Det er en ret væsentlig del af GDPR. Personfølsomme data må jo ikke forlade Eurozonen.

- Ja det kan det helt sikkert. Vi har flere forskellige fysiske steder vi placerer vores data, både i Europa og i resten af verden, siger Brian J. Wagner og fortsætter:

- Når kunderne bruger AWS så sker det gennem et API-kald, så det er programinstrukser det giver os. Så når det har konfigureret deres AWS-løsning så bliver alle operationer associeret med en fysisk region. Dermed har kunden fuld kontrol over, hvor deres data gemmes.

Når vi så snakker om GDPR og Cloud Computing, er der så nogle fordele ved skyen i forhold til at holde data hjemme?

- Ja det mener vi da der er. Hvad vi hører fra vores kunder er, at tilgængeligheden af tjenester giver dem en masse af indblik i deres infrastruktur, og hvad der sker i deres netværk, siger Brian J. Wagner.

Her til sidst: Er der noget du som kunde skal være opmærksom på omkring Cloud Computing og GDPR?

- Der er to ting. Dels skal virksomheden gøre op med sig selv, hvad de vil have ud af skyen. Er det besparelser, agility eller noget helt andet? Dernæst skal du drage fordel af, hvad skyen giver dig gratis. Der findes masser af informationer på nettet, og masser af fora hvor kunder udveksler informationer med hinanden, slutter Brian J. Wagner.