Klummer

Klumme: Tillykke med 1-årsdagen, GDPR!

Den 25. maj er det præcis et år siden, EU’s persondataforordning trådte i kraft. Men hvad har vi egentlig lært af det første år med GDPR? Brian Wagner fra Amazon Web Services giver en status på erfaringerne indtil nu.
Virksomhederne har selv skullet fortolke, hvad GDPR-bestemmelserne betyder i den daglige drift, påpeger Brian Wagner fra Amazon Web Services. | Foto: PR/AWS
Virksomhederne har selv skullet fortolke, hvad GDPR-bestemmelserne betyder i den daglige drift, påpeger Brian Wagner fra Amazon Web Services. | Foto: PR/AWS
Af Brian Wagner, Head of Compliance, EMEA, AWS Financial Services

I løbet af det seneste år er det nok gået op for en del organisationer, at GDPR ikke bare er en entydig standard. Selvom der har været talt og skrevet meget om de nye regler, er det tydeligt, at GDPR hverken kommer med en klar ramme eller 100 pct. præcise krav. Der følger ingen færdig tjekliste med og heller ingen teknisk referencearkitektur.

Så siden GDPR-forordningen trådte i kraft i maj 2018, har virksomhederne måttet bruge tid og kræfter på at fortolke bestemmelserne og give deres eget bud på, hvad de betyder i den daglige drift.

Tre kernepunkter

Organisationernes fortolkning af GDPR har i det seneste år især kredset om tre kernepunkter:

1. Kan vi stole på vores databehandler(e)?

2. Hvordan håndterer vi de persondata, vi allerede har og bruger? 

3. Hvordan designer vi vores produkter og tjenester, så de fra starten tager højde for sikring af persondata – det vi i daglig tale kender som Privacy by Design?

I cloud-løsninger, som dem Amazon Web Services tilbyder, skal disse spørgsmål besvares ud fra en model med delt ansvar. Organisationerne skal stadig foretage deres egen vurdering af databehandlernes egnethed, og de har stadig ansvaret for at sikre egne data – men kunderne får en del af deres compliance foræret ved at cloud-udbyderens infrastruktur i forvejen overholder GDPR-kravene, hvilket kan fjerne noget af kompleksiteten.

Det er et krav ifølge GDPR, at de dataansvarlige har en tilbundsgående indsigt i, hvilke data de opbevarer, hvor data er lagret og hvem, der har adgang til dem – og hvorfor. Da det er afgørende for compliance at forstå teknologien og den infrastruktur, som organisationens data skal lagres i, har vi som cloud-leverandør oplevet, at kunderne i det seneste år har efterspurgt langt mere transparens. Både i forhold til, hvad der sker med deres data i skyen, hvordan de selv bør beskytte deres produkter og tjenester og i forhold til, hvilken kontrol de selv har som dataansvarlig. Det oplever vi naturligvis kun som positivt.

Faste internationale standarder som SOC, ISO og PCI er blevet kendetegn for leverandørens troværdighed i de tilfælde, hvor kunden har valgt en international, ekstern leverandør, som er svær at udøve egenkontrol med.

Griber ind i alle platforme

For de personer og medarbejdere, der er udnævnt til dataejere i virksomhederne, er det i løbet af det første år med GDPR blevet klart, at opgaven med at forvalte og sikre de registreredes personoplysninger er meget gennemgribende. Især fordi opgaven mere eller mindre berører alle teknologiske platforme i virksomheden.

Læg dertil, at det i de fleste tilfælde kan være ganske komplekst at få overblik over det tekniske arvegods. Selvom man ikke bare kan skrotte alt og starte forfra, bliver vejen gennem vildnisset som regel at kigge mod nye it-værktøjer og platforme, der kan give et samlet overblik over, hvor de forskellige data befinder sig.

Ud fra det kan dataejerne så træffe informerede beslutninger om, hvordan de yderligere beskytter data og efterlever ”least privilege”-princippet i GDPR, som dikterer, at enkeltpersoner skal have gyldige grunde til at kunne tilgå bestemte data – og ikke bare adgang som standard.

Vi har også set, at dataejerne har fået en ny bevidsthed om dataintegritet, når der skal bygges ​​nye applikationer og udvælges leverandører.

GDPR har haft den konsekvens, at systemer i dag udvikles med hensyntagen til de registrerede personers privatliv. Kunderne undersøger i langt højere grad nye teknologier, og løsningen på GDPR-kravene bliver ofte at gå i skyen, hvor de har adgang til cloud-native-teknologier og et økosystem af partnere, der på forhånd har færdige løsninger til lokalisering og katalogisering af data.

Nye krav til teknologipartnere

Et år med GDPR har i stort omfang motiveret virksomhederne til at blive bevidste om den rolle, de spiller i forhold til at beskytte data om de personer, som interagerer med deres produkter og tjenester.

For virksomheder som AWS, der lever af at udvikle de infrastruktur og cloud-tjenester, som kunderne skal basere deres løsninger på, har GDPR været en ekstra anledning til at satse endnu mere på at skabe nye, værdifulde værktøjer til sikkerhed, databeskyttelse og compliance.

Den udfordring har medvirket til, at AWS’ værktøjskasse i dag tæller mere end 500 sikkerhedstjenester og et veludbygget Amazon Partner Network, der står klar til at hjælpe kunderne videre på deres sikkerhedsrejse.

I sidste ende er den allervigtigste konsekvens af GDPR, at de europæiske borgere har fået styrket deres rettigheder omkring privatliv og beskyttelse af persondata. Vi er ikke 100 pct. i mål, og i branchen skal vi forsat udfordre hinanden til at sætte nye standarder for styrket kontrol – men vi er godt på vej.

Tillykke med 1-årsdagen, GDPR!

GDPR-regler fylder et år: "Dem der sagde at verden gik under har været lige hurtige nok"

Datatilsynet retter alvorlig kritik mod gymnasium

Del artikel

Relaterede artikler

Tilmeld dig vores nyhedsbrev

Vær på forkant med udviklingen. Få den nyeste viden fra branchen med vores nyhedsbrev.

Nyhedsbrevsvilkår

Forsiden lige nu

Læs også

Job