Sjekkliste

Hva må virksomheten din gjøre før du kan ta i bruk skytjenester?

Gjennomfør en risiko- og sårbarhetsanalyse

  • Kartlegg alle systemer i virksomheten som inneholder personopplysninger.
  • Grader deretter opplysningene fra sensitive til ikke-sensitive.
  • Evaluer hva som kan gå galt.
  • Vurder hvilke følger det kan få om noe går galt, for eksempel at personopplysninger kommer på avveier.
  • Lag en oversikt over hvilke sikkerhetstiltak som er iverksatt for å håndtere eventuelle hendelser.
  • Vurder sikkerhetstiltakene i avtalen med leverandøren av skytjenesten.
  • Tilfredsstiller tjenesten kravene etter risikovurderingen?

Sørg for å ha en databehandleravtale med leverandøren av skytjenestene

Du har plikt til å ha en databehandleravtale med leverandøren av skytjenestene, og sørge for at denne er i tråd med norsk regelverk. Det er virksomhetens ansvar at lovens krav følges. Viktige momenter som må dekkes i avtalen er blant annet: sikkerhetskopiering, sletting, tilgangsstyring og segmentering av informasjon.

  • Hvordan fungerer sikkerhetskopiering/speiling?
  • Når slettes opplysninger hos leverandøren?
  • Er tilgangsstyring i samsvar med lovpålagte krav og egen internkontroll?
  • Hvordan håndterer leverandøren det at personopplysninger ikke skal sammenblandes mellom ulike behandlingsansvarlige?
  • Kartlegg om leverandøren kan bruke virksomhetens data til egne formål.
  • Sørg for at leverandørens personvernvilkår (eller andre vilkår), ikke går utover databehandleravtalen.
  • Sørg for å regulere leverandørens bruk av underleverandører, og at virksomheten har oversikt og kontroll over disse.
  • Kartlegg om leverandøren kan bruke opplysningene for egne formål.

Gjennomfør en revisjon av databehandleren

Bruken av skytjenester må revideres jevnlig. Det vil si at dere selv eller en uavhengig tredjepart gjennomfører en sikkerhetsrevisjon for å sikre at databehandleravtalen følges. Dersom avtalen sier at en tredjepart skal utføre revisjon – krev å få se rapporten fra utført revisjon. Denne rapporten skal også være tilgjengelig for Datatilsynet dersom vi krever å få se rapporten ved tilsyn.

Sørg for at overføring av data følger loven

Overføring til tredjeland: Personopplysninger kan ikke uten videre overføres til land utenfor EØS, men Datatilsynet kan forhåndsgodkjenne overføringer. I tillegg er enkelte land godkjent av EU som trygge mottakerstater.

Dataportabilitet

Kan data overføres til ny tjenesteleverandør hvis det er ønskelig?

Sørg for sikker kommunikasjon og kryptering

  • Blir opplysningene kryptert før de lagres i nettskyen?
  • Er kommunikasjonen mellom behandlingsansvarlig og databehandler kryptert?
  • Er kommunikasjonen mellom databehandler og underleverandør/datasenter kryptert?
  • Hvem sitter på krypteringsnøklene?

Få på plass nødvendig dokumentasjon

  • Er løsningen tilstrekkelig dokumentert slik at offentlige myndigheter kan gjennomføre en kontroll?