Overholder din IT-serviceleverandør GDPR?

Den daglige drift af din virksomhed er afhængig af mange faktorer – især IT og ikke blot de fysiske enheder, for du udveksler med 99% sandsynlighed data med eksterne systemer. Spørgsmålet er om du har en ærlig chance for at vide, om disse systemer overholder GDPR.

I en mere og mere forbundet verden benytter virksomheder på tværs af brancher en bred vifte af software som er placeret i skyen, kendt som SaaS (Software as a Service) eller Cloud løsninger.

En undersøgelse udført af datacenterleverandøren Interxion i 2018 viste at 68% danskudviklede SaaS løsninger benyttede globale datacenterløsninger fra bl.a. Microsoft, Amazon og Google.

ISAE 3000 revisionserklæring

Har du som dataansvarlig undersøgt om din IT-serviceleverandør har en IT-revisionserklæring og hvorfor er det vigtigt?

Har din leverandør fået udarbejdet en ISAE 3000 revisionserklæring for den service de leverer, så er bl.a. deres systemdokumentation, arbejdsgange, databehandling og opbevaringsløsninger blevet gennemgået af en uvildig IT-revisor – der bl.a. sikre at servicen overholder GDPR.

Du kan se COMAsystems ISAE 3000 revisionserklæring her.

Men hvor er skyen og dine data?

Den meget forsimplede forklaring er, at skyen er internettet – men når vi taler om data, så vil det være mere korrekt at sige, skyen er de datacentre der er placeret rundt om i hele verden og som er forbundet via fiberoptiske kabler og net forbindelser.

For at du som bruger opnår korteste svartid, altså hurtigste adgang til data, repliceres data imellem datacentrene og her opstår udfordringerne omkring GDPR.

Globalt distribueret data er et problem
Mange Cloud og SaaS løsninger bliver afviklet bl.a. via Amazon Web Services (AWS) og mange e-mails leveres igennem Microsofts Hosted Exchange eller Google G Suite.

Disse underleverandører til din IT-serviceleverandør opererer på global skala og netop derfor bliver data distribueret på tværs af deres datacentre uden hensyntagen til EU-lovgivningen vedrørende persondata (GDPR).

Så indeholder de SaaS eller Cloud løsninger der benyttes i din virksomhed, hvad der i persondataforordning er at betragte som personfølsomme data og denne data repliceres på tværs af datacentre globalt – så har du som virksomhed i EU ikke overholdt lovgivningen.

Stil krav til din IT-serviceleverandør

Det er vores anbefaling at virksomheder der behandler persondata, stiller krav til deres IT-serviceleverandører og dermed også til hvilke underleverandører de benytter.

Du har som dataansvarlig pligt til at leve op til lovkravene under persondataforordningen og dermed et særligt ansvar for valget af SaaS og Cloud løsninger – her er en IT-revisionserklæring det du skal bede om fra din IT-serviceleverandør.