Artikel top billede

Det kommer dansk cloud-afgørelse til at betyde for dig

Deloitte har set nærmere på Datatilsynets udtalelse om Microsofts Office 365 og giver her et bud på, hvad den kommer til at betyde for cloud-brugere og -leverandører.

Læs også:

Det betyder Datatilsynets Office 365-dom for dig

Dansk it-chef: Vi er stadig ikke i mål med Office 365

Sådan undgår du at bryde dansk lov med data i skyen

"En betinget anerkendelse af Microsofts cloud-løsning."

Sådan vurderer revisionsfirmaet Deloitte den udtalelse om Microsofts Office 365, som Datatilsynet for nylig publicerede.

Det er Charlotte Pedersen og Julie Suhr fra rådgivningsfirmaet, der har nærlæst udtalelsen og i en længere artikel (PDF) analyserer dens betydning for de danske it-chefer og for Microsoft som databehandler.

Deloitte skriver, at de danske virksomheder og myndigheder, som ser store omkostningsfordele ved cloud løsningerne, længe har "stået mellem to kedelige valg:" 

"Enten at tage imod de betingelser de nu kunne få fra de amerikanske leverandører og dermed risikere sikkerhedshændelser og bøder og påtaler fra Datatilsynet, eller at vælge de gammeldags og dyrere løsninger, som overholder den danske lovgivning."

Mere fokus på leverandøren

Persondataloven og sikkerhedsbekendtgørelsen kan vise sig at være en barriere, når danske virksomheder og offentlige myndigheder ønsker at lægge data ud i skyen.

Det kom blandt andet til udtryk, da Odense Kommune ikke kunne få lov til at bruge Google Apps.

Det var også samme problemstilling, der var årsagen til
Datatilsynets udtalelse om, hvordan Microsofts Office 365 spiller sammen med den danske lovgivning for opbevaring af persondata.

Ifølge Deloitte er der dog nu måske sket en afgørende ændring i måden, Datatilsynet udtaler sig om cloud-tjenesterne på.

"I udtalelsen til Odense kommune nævner Datatilsynet slet ikke databehandlers ansvar, og det skyldes muligvis, at Datatilsynet netop havde fokus rettet mod den dataansvarliges forpligtelser, idet det netop var en dataansvarlig, der havde anmodet om selve udtalelsen."

"Den nyeste udtalelse henvender sig derimod mere til Microsoft som databehandler og bærer præg af, at være en overordnet udtalelse mere end en konkret vurdering af den specifikke løsning."

Kan gøre forhandlinger lettere

Det kan ifølge artiklen fra Charlotte Pedersen og Julie Suhr få betydning for både brugere og leverandører af cloud computing, fordi det er en indikation af, at Datatilsynet måske i højere grad end tidligere ser ansvaret som delt mellem den dataansvarlige og databehandleren.

"Hvis Datatilsynet begynder at tildele databehandlere et selvstændig ansvar i deres praksis og uddele sanktioner og udtalelser direkte til cloudleverandøren ved eventuelle overtrædelser, flyttes en del af de lovgivningsmæssige risici over på databehandlernes vægtskål."

"Det vil sandsynligvis gøre cloud-leverandørerne en del lettere at forhandle med, og de vil naturligvis have en større grund til, at optimere sikkerheden i deres løsninger."

Det er dog stadig den dataansvarliges opgave at vurdere, om de databehandleraftaler, der indgås, er i tråd med sikkerhedsbekendtgørelsen.

"En ting er, at leverandøren proklamerer at overholde standardkontrakten, men hvis databehandleraftalen eller sideordnede aftaledokumenter samtidig indeholder konkrete betingelser, der strider direkte imod selv samme standard, må man gå ud fra, at det stadig er den dataansvarlige, der har ansvaret for de konsekvenser, der måtte komme."

Så længe ansvaret for databehandlingen ligger på de dataansvarlige skuldre, vil det være nødvendigt at bruge en hel del ressourcer på leverandørstyring og kontroller, skriver Deloitte. 

Læs hele Deloittes analyse her (PDF).

Læs også:

Det betyder Datatilsynets Office 365-dom for dig

Dansk it-chef: Vi er stadig ikke i mål med Office 365

Sådan undgår du at bryde dansk lov med data i skyen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere