GDPR og AWS – del 1

Når det gælder GDPR og AWS anbefaler jeg i starter med at forstår AWS Shared Responsibility Modellen der tydeligt illustrere ansvarsfordelingen mellem leverandør og dataansvarlig.

AWS Shared Responsibility Modellen

Igennem de fleste undervisnings-sessioner med AWS, bliver tegningen ofte forsimplet til sætningen “Amazon is responsible for the security of the cloud, while the customer is responsible for security in the cloud“. Det er også korrekt, men som kunde skal forstå omfanget og det ansvar der følger med opgaven. Selv om serverne er forberedt til at logge adfærd og segmentere adgang til indhold, så er det kundens ansvar at sikre at overvågningen aktiveres og sikkerhedsregler og backup-politikker sættes op.

Heldigvis er der indbygget værktøj til rådighed hos AWS der hjælper jer i de områder man som kunde er ansvarlig for. Langt hen af vejen løser AWS CloudWatch og Cloudtrail opgaven i forhold til logning, inklusiv det i har hosted andre steder eller on-prem. Men når vi skal ind over data retention policy og adgang, skal der tænkes logik og arkitektur ind i løsningen.

På AWS er næsten alt muligt, men det sker ikke af sig selv

I forhold til ansvarsfordeling kan man sammenligne AWS med enhver anden IaaS leverandør, det giver dig et utal af tekniske muligheder med deres it-infrastruktur, men du er samtidig 100% ansvarlig for at sikre en adfærd der gør i overholder de skiftende fortolkninger af GDPR og Persondataforordningen.

Heldigvis er der en masse gratis hjælp at hente – og i den forbindelse vil jeg fremhæve tre services der kan gøre en forskel for alle der ikke arbejder med Jura som speciale:

  • Persondatatesten: Værktøj udviklet af Kammeradvokaten der introducere de juridiske forpligtigelser der skal overholdes.
  • LegalHero: Jurist-as-a-Service der giver billig adgang til juridisk hotline og adgang til centrale juridiske dokumenter.
  • AWS Partner Finder: Start ALTID med at benyt en AWS partner, da det sikre jer i opnår de rigtige rabatter og har mulighed for AWS funding af PoC og andre projekter. Jeg er ikke AWS partner og jeg ville personligt aldrig starte et projekt på AWS for en kunde, uden at det gik gennem en certificeret AWS partner.

Selv om i har planer om at anvende eksterne konsulenter til opgaven, vil jeg altid anbefale i starte med ovenstående. Det er en effektiv måde at sikre forståelse for GDPR og AWS, så man starter med et robust og opdateret beslutningsgrundlag.