Kan personopplysninger lagres hos en skyleverandør (for eksempel Dropbox og Google), eller må virksomheten ha en egen server?

Ja, men det forutsetter en del ting. Virksomheten må kartlegge hvilke personopplysninger den har og klassifisere disse fra sensitive til ikke-sensitive. Virksomheten må deretter vurdere behovet for konfidensialitet rundt opplysningene som skal lagres hos skyleverandør, og gjennomføre en risikovurdering basert på dette. Etter å ha gjennomført risikovurdering vil virksomheten komme frem til hvilken grad av informasjonssikkerhet som kreves for å beskytte personopplysningene. Man må vurdere sikkerheten til skyleverandøren, og vurdere om innholdet i databehandleravtalen er tilfredsstillende.

Les mer i vår veileder om bruk av skytjenester.