Global enighet kring personuppgifter i molnet

Annons

It blir allt mer en fråga för CFO:n. I takt med att big data och molntjänster får en allt större betydelse för affären ökar också riskerna och kravet på medvetenhet om hur företag hanterar exempelvis personuppgifter.

I september i år antogs en ny ISO-standard: SS-ISO/IEC 27018:2014 med titeln ”Riktlinjer för skydd av personuppgifter i publika molntjänster som hanterar personuppgifter”.

På föreningen SIS, Swedish Standards Institute, ser man införandet av den nya standarden som betydelsefull.

– Personlig integritet är en både viktig och känslig fråga över hela världen. Inte minst beroende på avslöjanden om såväl övervakning som identitetsstölder. Att på detta sätt få en global enighet kring några grundläggande principer är av största vikt och värde, säger Bengt Rydstedt, projektledare för SIS Tekniska kommitté för informationssäkerhet.

Han tror att ISO-standarden kan bli en hjälp och en plattform för såväl identitetshantering som skydd av den personliga identiteten, något som han menar är en förutsättning för säker elektronisk handel där kunden vill vara säker på att dennes uppgifter förvaras tryggt och inte sprids vidare.

– Att också genom denna standard fastslå principer för ägande och ansvar för uppgifterna är ett stort steg framåt. Standarden är inte främst en uppräkning av tekniska finesser utan en beskrivning på ”ordning och reda” dvs rutiner, processer, flöden och tillsyn vid hantering av känsliga personliga data. ISO 27000-seriens standarder handlar i grunden om ordning och reda, säger Lars Johansson, expert i SIS arbetsgrupp för den nya standarden.

David Frydlinger, jurist på Advokatfirman Lindahl instämmer i att ISO-standarden kommer att få stor betydelse:

– Syftet är att få en standardisering av behandling av personuppgifter i molntjänster. Konkret innebär det att kunden nu kan få ett kvitto från en oberoende tredje part på att leverantören uppfyller högt ställda krav. I detta fall gällande behandling av personuppgifter. Den molntjänstleverantör som uppfyller kraven i denna nya standard kan alltså antas uppfylla Sveriges och EU:s krav på behandling av personuppgifter i molntjänster, säger David Frydlinger.