Tag: GDPR

GDPR og AWS – del 2

Det går sjældent længe mellem spørgsmål omkring AWS og GDPR, hverken fra mine kunder eller fra situationer i hverdagen med en konstant tilgang af nye cloudbaserede produkter. Som tekniker kan svarene nogle gange være svære at finde, da fortolkning af juridiske tekster som love, domme og aftaler gøres bedst af jurister.

Derfor blev jeg glad da jeg så et opslag fra Kammeradvokaten, hvor deres juridiske eksperter afholder en kursus, sammen med deltager fra Datatilsynet og Cloud leverandører. Det må siges at være en oplagt mulighed for at stille de rigtige spørgsmål.

Link: Kursusdetaljer

Kurset giver indsigt i det juridiske perspektiv for cloud, herunder hvilke opmærksomhedspunkter, der er vigtige at have i mente. Du vil gå fra kurset med konkrete anbefalinger og metoder, herunder værktøjer til vurdering af risiko og fastlæggelse af de juridiske krav, når du anvender cloud-løsninger

Selvfølgeligt er jeg selv tilmeldt dette kursus og vil efterfølgende opdatere denne side med ny viden fra landets skarpeste juridiske hoveder.

GDPR og AWS – del 1

Når det gælder GDPR og AWS anbefaler jeg i starter med at forstår AWS Shared Responsibility Modellen der tydeligt illustrere ansvarsfordelingen mellem leverandør og dataansvarlig.

AWS Shared Responsibility Modellen

Igennem de fleste undervisnings-sessioner med AWS, bliver tegningen ofte forsimplet til sætningen “Amazon is responsible for the security of the cloud, while the customer is responsible for security in the cloud“. Det er også korrekt, men som kunde skal forstå omfanget og det ansvar der følger med opgaven. Selv om serverne er forberedt til at logge adfærd og segmentere adgang til indhold, så er det kundens ansvar at sikre at overvågningen aktiveres og sikkerhedsregler og backup-politikker sættes op.

Heldigvis er der indbygget værktøj til rådighed hos AWS der hjælper jer i de områder man som kunde er ansvarlig for. Langt hen af vejen løser AWS CloudWatch og Cloudtrail opgaven i forhold til logning, inklusiv det i har hosted andre steder eller on-prem. Men når vi skal ind over data retention policy og adgang, skal der tænkes logik og arkitektur ind i løsningen.

På AWS er næsten alt muligt, men det sker ikke af sig selv

I forhold til ansvarsfordeling kan man sammenligne AWS med enhver anden IaaS leverandør, det giver dig et utal af tekniske muligheder med deres it-infrastruktur, men du er samtidig 100% ansvarlig for at sikre en adfærd der gør i overholder de skiftende fortolkninger af GDPR og Persondataforordningen.

Heldigvis er der en masse gratis hjælp at hente – og i den forbindelse vil jeg fremhæve tre services der kan gøre en forskel for alle der ikke arbejder med Jura som speciale:

  • Persondatatesten: Værktøj udviklet af Kammeradvokaten der introducere de juridiske forpligtigelser der skal overholdes.
  • LegalHero: Jurist-as-a-Service der giver billig adgang til juridisk hotline og adgang til centrale juridiske dokumenter.
  • AWS Partner Finder: Start ALTID med at benyt en AWS partner, da det sikre jer i opnår de rigtige rabatter og har mulighed for AWS funding af PoC og andre projekter. Jeg er ikke AWS partner og jeg ville personligt aldrig starte et projekt på AWS for en kunde, uden at det gik gennem en certificeret AWS partner.

Selv om i har planer om at anvende eksterne konsulenter til opgaven, vil jeg altid anbefale i starte med ovenstående. Det er en effektiv måde at sikre forståelse for GDPR og AWS, så man starter med et robust og opdateret beslutningsgrundlag.