Datatilsynets vejledning om cloud

Det følger af vejledningen, at organisationen skal have kendskab til den cloudservice man benytter. Man skal i den forbindelse kortlægge de personoplysninger der behandles og hvorfor. Man skal udarbejde risikovurderinger af de påtænkte behandlingsaktiviteter og leverandørens behandlingssikkerhedsniveau. Man må kun anvende leverandører, der kan stille de nødvendige sikkerhedsgarantier. Vejledningen anviser, hvordan man vurderer en cloudleverandør, de krav man skal stille, og hvordan man dokumenterer sine valg.

Når organisationen har foretaget de nødvendige screeninger og risikovurderinger, skal man indgå en databehandleraftale med cloudleverandøren. Databehandleraftalen skal opfylde en række mindstekrav, hvortil der henviser til ”Datatilsynets vejledning om dataansvarlige og databehandlere” samt ”Daatilsynet standarddatabehandleraftale”.

Organisationen skal løbende føre tilsyn med cloudleverandøren og eventuelle underleverandører. En databehandler må alene agere i tråd med instruksen. Tilsynets intensitet og hyppighed afhænger af risikoen for den registrerede ved behandlingen. Vejledningen opstiller momenter, der taler for høj eller lav frekvens af tilsyn.

Ved brug af cloudleverandører skal organisationen være særligt opmærksom på overførsler til tredjelande. Den dataansvarlige skal identificere tredjelandsoverførsler, identificere eller etablere relevant overførselsgrundlag, træffe supplerende foranstaltninger og løbende reevaluere overførslerne. Vejledningen indeholder et afsnit om tredjelandsoverførsler, og hvad man i den forbindelse skal være særligt opmærksom på. Vejledningen giver desuden en specifik gennemgang af overførsler til USA med henblik på supplerende tekniske foranstaltninger og ”no reason to believe”-vurdering.

Vejledningen ændrer ikke ved de vurderinger og foranstaltninger, som den dataansvarlige skal foretage ved brug af cloudservices. Vejledningen opstiller en køreplan, som man kan tage udgangspunkt i ved vurderingen af brugen af cloud.