Vad behöver du som företagare tänka på vid upphandling av molntjänster, när det gäller hantering av personuppgifter? När kan du och när kan du inte använda amerikanska molntjänster? Vilka är riskerna med molntjänster som erbjuds av stora internationella aktörer? Anders Jonson förklarar utmaningarna och ger dig en checklista för upphandlingar.
Seminariet ingick i den årliga TÄNK SÄKERT-kampanjen, som drivs av MSB och Polisen. Syftet med seminariet var att uppmärksamma organisationer på de krav som finns för lagring av känslig information i molntjänster, hur kraven påverkas av EU:s regelverk samt hur organisationer kan säkerställa att de följer dessa regelverk. Föreläsarna var en oberoende expert på regelverken samt representanter från de två största molnaktörerna på marknaden. Det bör dock noteras att myndigheterna MSB och Polisen inte står bakom checklistan eller övriga råd som gavs.
Molntjänster och molnbaserade tillämpningar (SaaS) har på bara några ritat om kartan för hur affärskritiska verksamhetssystem utvecklas och används. Rationaliseringseffekter har inneburit radikalt lägre kostnader och krav på investeringar. Utvecklingen har gjort en digitalisering i små företag möjlig, som tidigare var ekonomiskt otänkbar. Men det finns också mörka moln på himlen, med risker som mindre företag har svårt att överblicka.
Nu råder stor förvirring kring vad som gäller när känslig information lagras i moln som drivs av leverantörer utanför Sverige, framför allt amerikanska.
Vad innebär allt detta för dig som företagare? Vad behöver du tänka på när du använder dessa molntjänster? Kan känsliga personuppgifter lagras i Google Workflow och Microsoft 365? Hur påverkas leveranser till offentlig sektor via molntjänster, där personuppgifter förekommer?
- Genomgång av nuläget för internationella mellantjänster
- Hur riskexponeringen ser ut i praktiken
- Vad de amerikanska leverantörerna har gjort för att tillmötesgå EU:s krav
- Kan nationellt lokala eller paneuropeiska leverantörer vara ett alternativ?
- Viktigt att kolla upp i avtal med utländska leverantörer av molntjänster
- Checklista vid upphandling av molntjänster, SaaS och appar
Under en längre tid har skillnaderna mellan europeisk och amerikansk lagstiftning, med regelverket GDPR i centrum, reglerats i olika avtal. Alla parter är intresserade av att tekniken för molntjänster kan utnyttjas till fullo. De amerikanska så kallade IT-jättarna investerar i teknikutvecklingen för molntjänster på en nivå som enstaka nationer inom EU inte kan matcha. Det är avgörande att svenska företag kan ta del av den konkurrenskraft som tjänsterna ger, framför allt för tjänster som bygger på AI.
Men i somras, den 16 juli, havererade plattformen för avtalen. EU:s högsta domstol fastslog att det så kallade Privacy Shield-avtalet mellan EU och USA bryter mot EU:s regelverk för personuppgifter. De personuppgifter som överförs och lagras i USA erhåller inte samma skydd som inom EU, vilket inte kan accepteras. Det begränsar möjligheterna för andra avtalsformer som till exempel standardklausuler (SCC/BCR). Konsekvensen är att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
EDPB (European Data Protection Board) publicerade 23 juli tydliga rekommendationer för hur domstolens utslag nu skall tolkas. Dessa innebär nya ”skall-krav” för standardavtal i alla enskilda EU-länder. Samtidigt meddelade EDPS (European Data Protection Supervisor) via Hague Forum, där alla EU:s inköpsorgan samverkar, att inte godta gällande ”online service terms” med Microsoft och Google.
Representanter för större molntjänster medverkar och ger sina perspektiv. Moderator är Christer Berg.
Föreläsare
Anders Jonson, cybersäkerhetsexpert och specialist på molntjänster. Anders bevakar kontinuerligt hur avtalsfrågor, standarder och certifieringar påverkar Sverige, övriga EU-länder och olika branscher samt det pågående arbetet med EU-harmonisering av molntjänster i Sverige. Bland annat medverkar Anders i CSP Cert, European Cloud Service Provider Certification Working Group, som tar fram rekommendationer till ENISA och EU-kommissionen.
Sandra Elvin är säkerhetschef på Microsoft i Sverige med fokus på cybersäkerhet och compliance. Under 20 år har Sandra haft olika IT-roller inom såväl privat som offentlig sektor, varav 9 år inom informations- och IT-säkerhet. Närmast har hon varit IT-säkerhetschef på H&M.
Paul Ahlgren arbetar med säkerhets- och regelverksfrågor hos Amazon Web Services (AWS). Han är en industriveteran med mer än 35 års yrkeserfarenhet, från företag som Digital Equipment Corporation, ABB, Ericsson, SEB och Teliasonera. Under två decennier var Paul verksam i finansbranschen, bland annat som chefsarkitekt för Skandiabanken.
Seminariet genomförs som en del av TÄNK SÄKERT i samarbete med MSB och Polisen.
Anmäl dig här
Evenemanget
Tid: 18:00 - 20:00
Plats: Online & Stockholm
Adress: Fleminggatan 7, 112 26 Stockholm
Kostnad: Kostnadsfritt och öppet för alla
Bra att veta: Du kan välja mellan att delta på plats eller online via Zoom. Zoom-länk skickas ut till samtliga anmälda.
För upplysningar kontakta
stockholm@dfs.se
Om arrangören
Tänk säkertVarje år i oktober genomförs informationssäkerhetsmånaden under temat ”Tänk säkert”. Kampanjen är ett långsiktigt arbete med målsättningen att höja medvetenheten och kompetensen hos privatpersoner och företagen för att säkrare hantera exempelvis lösenord, kortuppgifter och sin viktigaste information.
Nätverksledare/ArrangörerSeminariet genomförs som en del av TÄNK SÄKERT i samarbete med MSB och Polisen.
