Molnplattformar skapar rädsla för GDPR

Microsoft: Dynamics 365 och samtliga Microsofttjänster kommer att efterleva GDPR.

Satya Nadella Microsoft Dynamics GDPR compliant

Garanterat GDPR-säkert: Microsofts CEO Satya Nadella ser till att alla bolagets molntjänster kommer att efterleva GDPR. Foto: Microsoft.

Användningen av molntjänster skapar en rädsla för GDPR inom många verksamheter. Är globala molnplattformar verkligen kompatibla med de nya reglerna? Microsoft betonar dock att Dynamics 365 följer GDPR. 

"Det är inte enkelt att efterleva den nya persondataförordningen, GDPR, men för att underlätta för verksamheter förbinder vi på Microsoft oss till att säkra att alla våra molntjänster lever upp till GDPR-kraven från och med den 25 maj 2018", säger Brendon Lynch, Microsofts chef för persondata.

Den 25 maj 2018 träder EU:s nya persondataförordning, GDPR, i kraft. GDPR kommer att göra informationen om personuppgifter och datainsamling tillgängligt inom hela Europa. Målet är att skydda EU-medborgarnas rätt till integritet och att förändra hur verksamheter och organisationer förhåller sig till frågan.  

"Microsoft har länge värnat om individens integritet och vi anser att GDPR är ett viktigt steg för att klargöra de rättigheter som gäller, samt att göra det möjligt att skydda individens integritet", säger Andrea Simandi. Hon arbetar som advokat på Microsoft med ansvar för GDPR.

GDPR har tvingats fram tack vare globala it-jättar, som Facebook och Google, som lever på att samla in personuppgifter. Personuppgifter har helt enkelt blivit en handelsvara. Dessutom tillkommer det hela tiden nya tekniska möjligheter kring insamling sammanställning och analys av data. 

Stora organisatoriska förändringar

Simandi säger att Microsoft, i samarbete med flera av bolagets kunder, har börjat arbeta för att säkerställa att man hanterar de nya kraven på rätt sätt.

"Vår erfarenhet är att GDPR innebär stora organisatoriska och strukturella förändringar i verksamheter runt om i världen", säger Simandi.

Hon betonar dock att (nya) it-lösningar inte automatiskt uppfyller kraven i sig självt.

"Våra molnlösningar kan hjälpa verksamheter att efterleva GDPR-reglerna, men det är viktigt att komma ihåg att systemen inte ensamt räcker för att säkerställa att man arbetar i enighet med GDPR. Varje bolag måste se till att alla processer, tillvägagångssätt och system följer den nya förordningen", betonar Simandi.

GDPR ställer hårdare krav på it:

GDPR innebär höga krav på hur personuppgifter och information hanteras i systemen. Här är några av de viktigaste kraven som en it-lösning behöver kunna hantera:

  • Alla personuppgifter måste kunna raderas på begäran
  • Säkerhet och integritet måste byggas in i it-systemen
  • Uppgifterna ska kunna överföras till andra (it) företag och/eller tjänsteleverantörer
  • Data och information måste ligga på servrar som är fysiskt belägna inom EU/EES-området, såvida inte den enskilda personen har begärt eller accepterat att de kan flyttas från området

Många verktyg

Microsofts molnlösning för affärssystem, Dynamics 365, har flera verktyg som gör det möjligt att hitta all data som är relaterad till en person och eventuellt radera dem. Persondata kan också extraheras i exempelvis Excel, där den kan bearbetas vidare och exporteras till standardformat som csv eller xml. Detta gör att du kan överföra data och information till andra aktörer i ett standardformat.

Microsoft erbjuder även flera verktyg i Dynamics 365 som gör det möjligt att begränsa tillgången till personuppgifter på olika nivåer relaterade till tjänster och/eller roller/medarbetare. "Privacy by default and design", som GDPR kräver, är inbyggt i Dynamics 365.

Dynamics 365 är utvecklad med hjälp av Microsoft Secure Development Lifecycle. Där är "privacy by default" och "privacy by design" en del av metodiken i förhållande till Microsofts regler om personlig integritet. Dessutom testas flera Dynamics 365-tjänster årligen mot ett antal internationella integritets- och säkerhetsstandarder, inklusive ISO/IEC 27018.

Dessutom är data och information krypterat, både lagrat och när de transporteras mellan olika platser och tjänster. Informationen finns på servrar i EU och EES-området.

Stora investeringar i integritet

Microsofts chef för persondata, Lynch, betonar att it-jätten gör stora investeringar i säkerhet och integritet i molntjänsterna, investeringar som också understöttar GDPR-kraven.

"Vi är förpliktigade att, i enlighet med våra egna principer, bygga tillförlitliga molntjänster baserade på säkerhet, integritet, öppenhet och överensstämmelse med lagar och regler.

Microsofts skyldigheter att efterleva GDPR finns i kundlicensavtalen "Online Services Therms" från mars 2017, vilket inkluderar skyldigheten att vara GDPR-complient.

Den nya persondataförordningen gäller i alla EU- och EES-länder och inkluderar all databehandling av medborgarnas personuppgifter, oavsett var bolaget som behandlar uppgifterna är beläget eller var datan behandlas. 

Fyra GDPR-råd från Microsoft:

Microsoft rekommenderar alla verksamheter att gå igenom fyra punkter på GDPR-resan:

1. Undersök

Ta reda på vilka personuppgifter du har och var och i vilka system de hanteras.

2. Organisera

Administrera hur personuppgifter används och vem som har tillgång till dem.

3. Skydda

Upprätta säkerhetslösningar för att säkerställa informationen samt för att avslöja sårbarheter och respondera när dataavbrott inträffar.

4. Rapportera

Besvara förfrågningar som avser information, rapporter om dataintrång och säkerställ nödvändig dokumentation.

Läs mer om GDPR hos Microsoft

Annons
Andra läser också
Annons