GDPR og AWS – del 2

Det går sjældent længe mellem spørgsmål omkring AWS og GDPR, hverken fra mine kunder eller fra situationer i hverdagen med en konstant tilgang af nye cloudbaserede produkter. Som tekniker kan svarene nogle gange være svære at finde, da fortolkning af juridiske tekster som love, domme og aftaler gøres bedst af jurister.

Derfor blev jeg glad da jeg så et opslag fra Kammeradvokaten, hvor deres juridiske eksperter afholder en kursus, sammen med deltager fra Datatilsynet og Cloud leverandører. Det må siges at være en oplagt mulighed for at stille de rigtige spørgsmål.

Link: Kursusdetaljer

Kurset giver indsigt i det juridiske perspektiv for cloud, herunder hvilke opmærksomhedspunkter, der er vigtige at have i mente. Du vil gå fra kurset med konkrete anbefalinger og metoder, herunder værktøjer til vurdering af risiko og fastlæggelse af de juridiske krav, når du anvender cloud-løsninger

Selvfølgeligt er jeg selv tilmeldt dette kursus og vil efterfølgende opdatere denne side med ny viden fra landets skarpeste juridiske hoveder.

Fordele ved en AWS Partner

Det er sjældent man som kunde bryder ud i en stille jubeldans fordi man er blevet kontaktet af en sælger, men hvis du har et par minutter og vil lære hvordan du får mest ud af dit AWS samarbejde, så læs lige dette indlæg færdigt – det er under 500 ord og du kan næsten nå at læse det mens din selvkørende Tesla kører fra CxO p-pladsen op til hoveddøren.

… derfor skal du tage den telefonsamtale med en AWS partner:

  • Få (bedre) funding fra AWS til POC/MVP
  • Ansvarspådragende rådgiveransvar
  • Minimer fremtidige udgifter ved at sikre den rigtige skalerbarhed
  • Få et Well-Architected Framework review
  • Bedre kontakt ind i organisationen hos AWS

Funding:
AWS er ikke bange for at kaste AWS credits efter projekter, hvilket for det meste er til POC’s eller transitionsprojekter. Et typisk beløb er mellem $1000 og $5000 AWS credits, som man kan bruge til at betale sin AWS regning med. Den slags funding tildeles gennem en partner og er ikke noget du uden videre kan tildeles uden.

Rådgiveransvar:
Hvis det ikke virker når du selv har bygget din AWS Infrastruktur, er der kun en til at samle regningen op – dig selv. Har du derimod haft en certificeret AWS partner inde over, så står du noget bedre i forhold til kompensation, pga. det ansvarspådragende rådgiveransvar der følger med når man benytter en ekspert. Det er et begreb jeg lærte efter at ha arbejdet for Kammeradvokaten et par år og noget jeg er evig taknemmelig da det giver en høj grad af juridisk sikkerhed, hvis det først skulle gå galt. Det kræver dog i har beskrevet projektet ordenligt, men det skal det under alle omstændigheder.

Udgifter:
En AWS partner har i forbindelse med sine certificeringer modtaget intensiv træning i prismodeller og konsekvensen af de forskellige service valg. Nogle valg kan betyder op til ca. 70% rabat hvis man betaler forud, hvilket mange nye kunder ikke kender til. Det er ikke småpenge at spare 70% på sit IaaS budget. Samtidigt siker man sig også mod overraskelser når infrastrukturen vokser i form af mere trafik eller flere servere.

Det er ikke småpenge at spare 70% på sit IaaS budget.

Well-Architected:
AWS Best Practice – kaldet Well-Architected Framework – er en måde at sikre du bygger din infrastruktur sikkert og optimeret i forhold til omkostninger. Hvis en Certificeret AWS partner udføre et Well-Architected review, kan du samtidigt modtage AWS funding for at rette på evt. findings – du hørte rigtigt; du får penge for at rette de fejl der findes.

AWS:
En bedre kontakt ind i AWS organisationen opnås med sikkerhed gennem en AWS partner. Dette gælder både i forhold til support-cases og viden. Hvis man vil flytte sig hurtigt og Agilt, gør man det absolut bedst med en AWS partner der kender den dynamiske struktur hos AWS.

Sidst men ikke mindst – find din AWS partner her i deres egen oversigt.

GDPR og AWS – del 1

Når det gælder GDPR og AWS anbefaler jeg i starter med at forstår AWS Shared Responsibility Modellen der tydeligt illustrere ansvarsfordelingen mellem leverandør og dataansvarlig.

AWS Shared Responsibility Modellen

Igennem de fleste undervisnings-sessioner med AWS, bliver tegningen ofte forsimplet til sætningen “Amazon is responsible for the security of the cloud, while the customer is responsible for security in the cloud“. Det er også korrekt, men som kunde skal forstå omfanget og det ansvar der følger med opgaven. Selv om serverne er forberedt til at logge adfærd og segmentere adgang til indhold, så er det kundens ansvar at sikre at overvågningen aktiveres og sikkerhedsregler og backup-politikker sættes op.

Heldigvis er der indbygget værktøj til rådighed hos AWS der hjælper jer i de områder man som kunde er ansvarlig for. Langt hen af vejen løser AWS CloudWatch og Cloudtrail opgaven i forhold til logning, inklusiv det i har hosted andre steder eller on-prem. Men når vi skal ind over data retention policy og adgang, skal der tænkes logik og arkitektur ind i løsningen.

På AWS er næsten alt muligt, men det sker ikke af sig selv

I forhold til ansvarsfordeling kan man sammenligne AWS med enhver anden IaaS leverandør, det giver dig et utal af tekniske muligheder med deres it-infrastruktur, men du er samtidig 100% ansvarlig for at sikre en adfærd der gør i overholder de skiftende fortolkninger af GDPR og Persondataforordningen.

Heldigvis er der en masse gratis hjælp at hente – og i den forbindelse vil jeg fremhæve tre services der kan gøre en forskel for alle der ikke arbejder med Jura som speciale:

  • Persondatatesten: Værktøj udviklet af Kammeradvokaten der introducere de juridiske forpligtigelser der skal overholdes.
  • LegalHero: Jurist-as-a-Service der giver billig adgang til juridisk hotline og adgang til centrale juridiske dokumenter.
  • AWS Partner Finder: Start ALTID med at benyt en AWS partner, da det sikre jer i opnår de rigtige rabatter og har mulighed for AWS funding af PoC og andre projekter. Jeg er ikke AWS partner og jeg ville personligt aldrig starte et projekt på AWS for en kunde, uden at det gik gennem en certificeret AWS partner.

Selv om i har planer om at anvende eksterne konsulenter til opgaven, vil jeg altid anbefale i starte med ovenstående. Det er en effektiv måde at sikre forståelse for GDPR og AWS, så man starter med et robust og opdateret beslutningsgrundlag.