A GDPR és hatása a felhőalapú rendszerekre
A szervezetek széles körű elmozdulása a felhőszolgáltatások felé az elmúlt néhány évben egyre inkább rámutat arra, hogy fontos és kihívásokkal teli a GDPR-megfelelés és a felhőhasználat egyszerre történő megvalósítása.
A szervezetek, egyre több adatot tárolnak és dolgoznak fel natív, hibrid és többfelhős környezetekben, így exponenciálisan több adat biztonságát és átláthatóságát kell biztosítaniuk, amely túlmutat a hagyományos hálózat védelmén és felügyeletén.
Nézzük melyek a GDPR és a felhőhasználat támasztotta legfőbb kihívások:
A felhőalapú számítástechnika egyik fő kihívása a bizalmas információk kezeléséhez kapcsolódik. Vállalkozásként szinte bármilyen típusú információt elhelyezhet a felhőben, beleértve az érzékeny, bizalmas információkat is, ami növeli annak kockázatát, hogy ezek az információk ellenőrizetlenül jutnak bizonyos külső felek (pl. versenytársak) birtokába.
Ezért különösen fontos, hogy ha vállalkozása felhőszolgáltatásokat vesz igénybe, jó áttekintést kapjon az adatáramlásról. A biztonságos működés érdekében tudni kell, hogy hol tárolják az adatokat, hogyan lehet azokat továbbítani, és milyen hozzáférési lehetőségei vannak a saját adataihoz.
Emellett a vállalkozások számára kihívást jelenthet az alkalmazandó jog meghatározása. A felhőalapú számítástechnika esetében az adatok földrajzi helyhez való kapcsolata elmosódhat. Nem mindig egyértelmű, hogy hol tárolják az adatokat. Az EU-n belül a fizikai hely a döntő tényező annak meghatározásában, hogy mely adatvédelmi szabályok alkalmazandók. Más joghatóságokban azonban más szabályok is alkalmazhatók. Ez a kihívás még kiélezettebbé válik a felhőben lévő adatok változékonysága miatt. Az adatok rendszeresen átkerülhetnek egyik helyről a másikra, vagy egyszerre több helyen is tárolhatók. Ez megnehezíti az alkalmazandó jog meghatározását, és az adatáramlás figyelését.
Emellett meg kell említsünk más további felhő-specifikus GDPR kihívásokat is, csakúgy, mint a felhőben történő hatékony adattárolás (az adatok tárolási idejének tisztetekben tartásával). A GDPR-ban foglaltak szerint a személyes adatok nem tárolhatók az előre meghatározott célhoz szükségesnél hosszabb ideig. Ezért adatmegőrzési időszakokat kell meghatározni, és képesnek kell lenni az adatok hatékony törlésére a megőrzési időszakok lejártával: mind a helyben tárolt, mind a felhőben tárolt adatok esetében. A nehézséget itt az jelentheti, hogy az adatokat több helyen, több joghatóság alatt tárolhatják a felhőszolgáltatók, és ezért kihívást jelent a több joghatóságra vonatkozó megőrzési követelmények azonosítása és kezelése. Az adatok törlése sok esetben szintén kihívást jelent. Az adatok teljes törléséhez a biztonsági mentéseket is figyelembe kell venni. Ezért fontos, hogy világos áttekintéssel rendelkezzünk arra vonatkozóan, hogy a biztonsági mentéseket és az adatmegőrzést hogyan kezelik a felhőszolgáltatók.
Szintén az adattároláshoz kapcsolódó kihívás a személyes adatok feldolgozása az Európai Gazdasági Térségen (EGT) kívül. Mivel a felhőszolgáltatók az adatokat több helyen is tárolhatják, bizonyos esetekben a személyes adatokat az EGT-n kívül tárolják. Ezen adatkezelés esetében megfelelő óvintézkedéseket kell alkalmazni, ha nem született megfelelőségi határozat az adatok tárolási helye szerinti országról. A megfelelőségi követelmények, valamint az adatlokalizációs jogszabályok betartása érdekében az adatkezelőknek ilyenkor több országra kiterjedő felhőstratégiát kell meghatározniuk.
A következő sarkalatos pont az adathordozhatóság az adatkezelő számára. Fontos figyelembe venni, hogy minden érintett jogosult az általa az adatkezelő rendelkezésére bocsátott adatait kérés esetén megkapni. Részben ezért, részben az adatok kezelhetősége miatt, lehetővé kell tenni az adatkezelő számára, hogy az adatokat strukturált, általánosan használt és géppel olvasható formátumban lekérje a rendszerből és az érintett felhasználó vagy egy másik adatkezelő rendelkezésére bocsássa. Lényeges az is, hogy erről megállapodásokat kössön a vállalkozás az adott felhőszolgáltatókkal. A szolgáltatóknak biztosítaniuk kell a technikai képességeket annak biztosítására, hogy az adatkezelők eleget tudjanak tenni az érintettek e jogának.
A felhőalapú architektúra és beépített adatvédelem kérdését is érdemes fontolóra venni. Adatkezelőként,a felhőszolgáltató kiválasztásakor, illetve a felhőszolgáltatás igénybe vételekor, meg kell érteni a felhőszolgáltató által használt mögöttes technológiákat, valamint azt, hogy ezek a technológiák milyen hatással lehetnek a felhőben tárolt személyes adatok biztonsági védelmére. A felhőszolgáltató rendszerének architektúráját figyelemmel kell kísérni a technológiai változások és a rendszer frissítéseinek kezelése érdekében.
Emellett az adattulajdonjog kérdéskörét is tisztázni kell. Adatkezelőként a vállalatnak kell megőriznie a saját adatai feletti ellenőrzést és tulajdonjogot. Ezt a szerződésben is javasolt rögzíteni.
Az adatvédelem is kulcsfontosságú elem. Adatkezelőként a vállalkozások nem tudják ellenőrizni a felhőszolgáltató informatikai környezetét, így a szolgáltató által alkalmazott informatikai ellenőrzésekre kell hagyatkozniuk. Ezért mindig fel kell mérni, hogy a szolgáltató milyen mértékben képes megfelelni az adott cég IT-biztonsági követelményeinek. Ezt a vállalat harmadik felekre vonatkozó kockázatkezelési folyamatán keresztül lehet elvégezni. Emellett azt is érdemes felmérni, hogy a szolgáltató milyen IT-biztonsági és adatvédelmi intézkedésekkel vagy tanúsítványokkal rendelkezik.
A felhőszolgáltatók többféle módon bizonyíthatják a biztonság és a beépített adatvédelem betartását:
- elvégzett adatvédelmi hatásvizsgálati (DPIA) eredményekkel;
- ISO 27001 tanúsítvánnyal (információbiztonsági irányítási rendszer);
- ISO 27018 tanúsítvánnyal (a személyes adatok feldolgozójaként működő nyilvános felhőkben a személyes adatok védelmére vonatkozó gyakorlati kódex).
Ezenkívül a kockázatkezelés és esetleges támadásra való reagálás – koordináció is elengedhetetlen. A vállalkozása kockázatkezelési szabályzatában a felhőszolgáltatókkal kapcsolatos kockázatkezelés is helyet kell kapjon. A felhőszolgáltatók igénybevétele során esetlegesen felmerülő kockázatok meghatározásához adatvédelmi hatásvizsgálat (DPIA) és biztonsági értékelés végezhető. Emellett a felhőszolgáltatókkal kötött megállapodásokba bele kell foglalni a felhőszolgáltatók ellenőrzésének jogát. A megfelelő ellenőrzés elvégzéséhez a megfelelő ellenőrzési terv mellett egy adatvédelmi és beépített adatvédelmi ellenőrzési intézkedéseket tartalmazó ellenőrzési keretrendszert is meghatározható.
A metaadatok és az adatminimalizálással kapcsolatos láthatóság kapcsán is akadnak kihívások. Ha Ön, vagy a vállalkozása, mint adatkezelő, felhőszolgáltatásokra vonatkozó szolgáltatási szerződést kíván kötni, tájékozódnia kell a felhőszolgáltató által gyűjtött metaadatok típusairól. Ezenkívül, fontos, hogy tájékozódjunk arról, hogy a metaadatok milyen szintű védelemben részesülnek, megismerjük a vonatkozó tulajdonjogokat, a metaadatok gyűjtésétől vagy terjesztésétől való elállási jogokat, valamint a metaadatok tervezett felhasználási módjait.
Összegzés:
Ha vállalkozása felhőszolgáltatást vesz igénybe, a GDPR-megfelelés biztosítására is időt, erőforrást kell szánjon. Ehhez szükséges, hogy jó áttekintést kapjon az adatok származásáról, valamint, hogy tudja, hogy hol tárolják az adatokat, hogyan lehet azokat továbbítani, és milyen hozzáférési lehetőségei vannak a saját adataihoz. Az adatok tárolási helye fontos az alkalmazandó jog meghatározásához. Azt is célszerű ellenőrizni, hogy a felhőszolgáltató által nyújtott biztonsági intézkedések elegendőek-e. Az auditálás jó eszköz lehet ezen intézkedések értékelésére, ezért ezt a jogot bele kell foglalni a megállapodásokba.
A DynaGo a tanácsadás és egyéb szolgáltatásain keresztül a legmodernebb technológiai előnyöket használja és kínálja ügyfelei számára, hogy megtalálhassák a tevékenységükhöz és szükségleteikhez legjobban illeszkedő megoldásokat. Keressen minket bizalommal.
Inspirációs források:
www2.deloitte.com, és venturebeat.com
Kép forrása: pixabay