Sponsrat Sponsrat

Privacy Shield håller inte måttet – allt är fortfarande upp till dig!

Uppdaterad 2016-03-15
Publicerad 2016-03-15

Av Roger Gotthardsson, Systems Engineering Director, Blue Coat Systems, Sverige

Många stora företag förefaller pausa eller avsluta projekt med anledning av att de inte vet hur de ska bete sig i relation till lagstiftningen. Det är fullt förståeligt, för nya EU-ramverk som den om datatillhörighet gör att många riskerar att gå vilse i sin resa ut i molnet. Det mesta av problematiken kring säkerhetstänk började bli riktigt synlig med insikten om att NSA och andra amerikanska myndigheter bedriver massövervakning av data som amerikanska företag lagrar. Detta fick till följd att EU-domstolen den 6 oktober 2015 ogiltigförklarade det gamla Safe Harbor-avtal om dataöverföring mellan EU och USA; ett beslut som direkt påverkade alla företag med verksamhet inom EU.

Nyligen kom så det nya avtalet; Privacy Shield, med avsikten att överbrygga de olika regelverken i EU och USA. Avtalet lyckades delvis åstadkomma ett ökat skydd för EU-medborgarnas personliga data. Avsikten är god men kritiker menar att avtalet inte kommit i närheten av ett fullgott skydd. Dessutom har de olika medlemsländernas datainspektioner inte sagt sitt än. Det kommer att ta tid innan alla EU-länder ratificerat avtalet.

Samtidigt är många företag ivriga att använda molntjänster vilket gör att allt mer känsliga data hamnar i molnleverantörernas händer. Men var lagras deras data egentligen? Hur ska de göra för att uppfylla lagens krav? En bra början är att ta reda på precis vilket data som flyter ut ur ditt nätverk och vart det tar vägen. Försök hitta falska moln och annan skugg-IT, inventera dina godkända moln och ta reda på var alla datacenter finns.

Det går bra att använda sig av molnteknik, men sök i dina data efter information som omfattas av reglerna och se till att den inte lämnar Europa. Om detta inte är möjligt, bör du vidta mått och steg för att skydda känslig information.

För många är tokenisering det bästa alternativet. Tokenisering går till så att man ersätter klartext med ett surrogatvärde (kallat token) som saknar mening om det skulle stjälas eller avlyssnas och säkerställer att den känsliga informationen aldrig hamnar utanför företagets kontroll. Genom att i gatewayen ange att allt persondata ska omvandlas till token kan företagen säkerställa att persondata aldrig korsar gränserna. Dessutom minskar rapporteringskraven. Bara den som har tillgång till ekvivalenstabellen kan återställa den skyddade informationen till klartext eftersom det inte finns något matematiskt samband med den känsliga informationen. Med hjälp av en skyddande gateway (Cloud Data Protection Gateway, CPDG) som döljer data genom kryptering eller tokenisering kan ett företag sålunda använda molntjänster belägna utanför Europa på ett säkert sätt och vara säkra på att följa EUs principer för dataskydd.

Ett tredje alternativ är att använda molntjänster med datacenter i Europa. Men kom ihåg att molntjänsterna ofta tar sig rättigheten att flytta data mellan olika centra. Det primära datacentret och reservcentret kan befinna sig i olika länder eller regioner. De kan också ha anställda som inte är EU-medborgare, som får tillgång till data för rutinmässigt underhåll. Ta därför reda på om detta bryter mot regelverket.

Presskontakt:

Susan Rose, +46 73 300 3010, e-mail susan@susanrose.se

Platsannonser