Juridiske aspekter ved flytting til skyen

Det å flytte arbeidsbelastningene til skyen kan virke som en enkel beslutning, men skal virksomheten lykkes, må dere sette dere inn i en del juridiske spørsmål og samsvarskrav.

Nettskyen kjennetegnes av fleksibilitet. Det er en ettertraktet egenskap for bedrifter som sverger til en agil tilnærming. Skyen er imidlertid også kilde til en del juridiske komplikasjoner, særlig hvis man må forholde seg til flere skyer i ulike land.

Digital suverenitet er et av de viktigste spørsmålene bedriftene må sette seg inn i. Det betyr kort fortalt at dataene skal være underlagt de lover og regler som gjelder i landet der de ble innhentet. Blant bestemmelsene som styrer personvern og digital suverenitet, har vi de europeiske forordningene for elektroniske bevis (e-evidence) og personvern (GDPR), den kinesiske personvernloven (PIPL) og den brasilianske personvernloven (LGPD).

FNs konferanse om handel og utvikling (UNCTAD) anslår at omtrent 70 % av verdens land i dag har lovgivning som dekker personvern og datasikkerhet. I tillegg er nettskyen underlagt andre lover i de forskjellige landene. For eksempel gir U.S. Cloud Act de amerikanske politimyndighetene rett til å kreve tilgang til data som er lagret hos skyleverandørene, selv om lagringsstedet er utenfor USAs grenser.

Lovgivningen knyttet til data har blitt så flytende at selskapene jevnlig må evaluere vurderingen av datarisikoen. Den store utfordringen er å finne ut hvordan det enkelte selskapet kan oppfylle reglene for datasuverenitet og samtidig oppnå skalerbarhet, smidighet og fleksibilitet.

Hold oversikt over dataene i skyen

Kandidattørken vi opplever, stikker allerede nå kjepper i hjulene for forretningsutviklingen. I IDCs spørreundersøkelse svarte over en tredjedel av bedriftene at problemet forverres av lønnsinflasjon og stor gjennomtrekk av ansatte, noe som igjen gjør det vanskeligere å dekke etterspørselen fra kundene og lansere nye produkter og tjenester.

Bedriftene kan ikke ansette seg ut av mangelen på kompetente fagfolk. For å bøte på mangelen må de tilby opplæring i nettskyrelaterte ferdigheter og etter- og videreutdanne medarbeiderne sine.

Selv om kursing og opplæring bør være en viktig målsetting for bedriftene, bør personalavdelingene også ansette folk med bred kunnskap og erfaring, for på denne måten å bygge opp kompetansen internt. Samtidig må virksomhetene velge de rette skypartnerne som kan hjelpe dem å fylle tomrommet på kort sikt.

De fleste bedrifter ønsker å bli selvhjulpne på sikt når det gjelder skyløsninger, men en betrodd skypartner kan lette kunnskapsoverføringen og hjelpe til med kompetansehevingen.

  • Hele bedriften må kurses i skyteknologi

    Multiskyløsninger har raskt blitt populært i næringslivet. I en fersk undersøkelse rapporterte 89 % av selskapene at de hadde valgt en multiskystrategi, og 80 % hadde en hybridløsning med en blanding av offentlige og private skyer. Når medarbeiderne bruker skydataene fra alle slags enheter og steder, blir det vanskelig for selskapene å holde oversikt over hvor de er lagret, og sikre etterlevelse av lokale lovbestemmelser.

    Gartner anslår at personopplysninger om 75 % av jordens befolkning vil være underlagt gjeldende personvernregler innen utgangen av 2024. Ettersom de færreste bedriftene har en egen personvernavdeling som tar seg av denne typen spørsmål, blir sakene ofte sendt videre til datasikkerhetslederen (CISO). Men siden det stadig blir innført nye personvernregler rundt om i verden og multiskyløsningene brer om seg, anbefaler Gartner bedriftene å allerede nå begynne å se på hvordan de kan begrense den juridiske risikoen knyttet til nettskyen.

  • Kartlegg risikoprofilen

    Første trinn er å gi lære opp medarbeiderne i de forskjellige typene risiko og tallfeste og kategorisere risikoen knyttet til selskapets data.

    Neste trinn for å etterleve alle relevante lover og regler blir å finne ut nøyaktig hvor dataene er lagret og hvilke regler som må følges, samt hvordan og hvor ofte dette blir kontrollert.

    Det er også svært viktig å skaffe seg oversikt over dataene. En oversiktlig og fullstendig katalog over datene og de interne konfidensialitetskravene for disse (inkludert alle forsknings- og utviklingsdata, forretningsplaner, strategier og forretningshemmeligheter), er en forutsetning for å kunne utarbeide en tilnærming med flere nivåer basert på forretningsrisiko.

    Den juridiske risikoen for tvungen offentliggjøring av data må kartlegges, tallfestes og kategoriseres før arbeidet med å utforme praktiske strategier for risikoreduksjon bestående av tekniske og prosessuelle trinn kan starte. Dette arbeidet, som bør skje fortløpende, hjelper også selskapene med å evaluere risikoen for større bøter og straffegebyrer og for uheldig deling av opplysninger til statlige aktører.

    De kan dermed utarbeide et opplegg for risikostyring for nettskyen og definere gode rutiner, slik at de unngår problemer med etterlevelse eller drift.

  • Sikre dataene innenfor strengere juridiske rammer

    Etter hvert som digitaliseringen forsetter, folk blir mer opptatt av personvern og offentlige aktører får en større rolle, er det ikke til å unngå at de juridiske rammene vil bli enda strengere.

    Bedriftene må være proaktive og allerede nå sikre at dataene de lagrer i skyen, er trygge, og at alle lover og regler blir fulgt. I motsatt fall blir resultatet stadig større bøter og straffegebyrer og – ikke minst – et ødelagt omdømme.

     

Følg oss