Annonsørinnhold fra  
Advertiser company logo

Digital suverenitet: Derfor må du vite hvor skydataene dine er lagret

– Fremfor alt handler digital suverenitet om nasjoners, organisasjoners og enkeltindividers digitale autonomi og retten til kontroll over egne data, sier Wenche Karlstad i TietoEVRY. Foto: TietoEVRY
– Fremfor alt handler digital suverenitet om nasjoners, organisasjoners og enkeltindividers digitale autonomi og retten til kontroll over egne data, sier Wenche Karlstad i TietoEVRY. Foto: TietoEVRY johner.se/Stefan Isaksson
Del

Bedrifter og offentlige organisasjoner lagrer stadig mer data i datasentre i skyen. Dette markedet er dominert av amerikanske teknologigiganter, men nå har nye reguleringer forårsaket et juridisk limbo rundt skyen.

Blant de drivende faktorene er US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) og lignende lover i andre land, som for eksempel Kina. De er i strid med nye EU-regler og avgjørelser fra EU-domstolen, spesielt den banebrytende Schrems II-dommen.

I en dom 16. juli 2020 ble det slått fast at sertifiseringsordningen Privacy Shield ikke lengre var gyldig som overføringsgrunnlag for personopplysninger mellom Europa og USA. Selv om det finnes alternative overføringsgrunnlag, konkluderte EU-domstolen med at heller ikke disse beskytter personopplysningene i tilstrekkelig grad.

Hvor store konsekvensene av Schrems II-dommen blir, er fortsatt uklart. Men EU ønsker å redusere avhengigheten av og risikoen ved utenlandsk tilgang til kritiske data, også tatt i betraktning at skyen er kraftsenteret til kunstig intelligens og andre viktig teknologiområder. Digital suverenitet er et nøkkelord i så måte.

Internasjonal kamp om digital kontroll

Hva er egentlig digital suverenitet og hvordan kan organisasjonen din dra nytte av det?

Leder for Customer Value & Service Offering i TietoEVRY, Wenche Karlstad. 
Leder for Customer Value & Service Offering i TietoEVRY, Wenche Karlstad. 

Leder for Customer Value & Service Offering i TietoEVRY, Wenche Karlstad forklarer hvordan du best håndterer ulike typer data i skyen. Dette er ekstra viktig å ha grep om i en verden der retningslinjer og regelverk er i stadig endring.

– Digital suverenitet er ikke et nytt konsept. Men det har blitt aktualisert på grunn av et skiftende storpolitisk landskap, og nye reguleringer som påvirker kontroll av data. For å si det kort: Suverene skyløsninger er en smart løsning på en internasjonal kamp om digital suverenitet, sier hun.

I praksis handler dette om tilgangen til data: hvor befinner de seg, hvor beveger de seg, og hvem har kontroll over dem? Disse spørsmålene er kritiske for en moderne dataøkonomi, der data har stor betydning. Skytjenester kommer uunngåelig i søkelyset, hvor de er å betrakte som motorene i dataøkonomien.

Mer metadata enn folk er klar over

EU-forskrifter, som GDPR, Data Act og Data Governance Act, er ment for å kontrollere flyten av data på tvers av landegrensene for å forhindre risiko for tilgang til data fra ikke-europeiske myndigheter. Spesielt krever reglene at sensitive eller kritiske data forblir på lokal jord. Dette understrekes i Schrems II-dommen.

Som et resultat må den som er ansvarlig for personvern og datasikkerhet i virksomheten forstå og vurdere hvilke data som er lagret i ulike skyløsninger, og om noen av disse dataene blir overført utenfor EU.

Digital suverenitet handler om data og deres eierskap, tillit, kontroll, nasjonale interesser og etterlevelse av regelverk.

Wenche Karlstad, TietoEVRY

Mengden metadata som skyleverandører samler inn er mye større enn folk er klar over. Innsamlingen er ofte automatisk, og kan inkludere data som IP-adresser, legitimasjon, samt logg- og diagnoserapporter.

– Anbefalingen er å gjøre en grundig dataklassifisering og applikasjonsvurdering for å sikre at regulative krav følges. Organisasjoner må distribuere de riktige applikasjonene og de riktige dataene i riktig sky: privat, hybrid eller ren offentlig sky, understreker Karlstad.

I denne prosessen er det nødvendig å skille ut hvilke data som kan klassifiseres som offentlige, konfidensielle eller sensitive data i henhold til nasjonale og regionale sikkerhetsstandarder.

Karlstad mener alle organisasjoner og virksomheter som håndterer og lagrer datamengder på vegne av innbyggere, kunder, forbrukere, interessenter osv. bør ta grep.

Hvordan sikre digital suverenitet

I dag mangler digital suverenitet en god definisjon som er allment akseptert i bransjen.

– Men grunnleggende handler det om data og deres eierskap, tillit, kontroll, nasjonale interesser og etterlevelse av regelverk, sier Karlstad.

Digital suverenitet sikrer at all data inkludert metadata forblir på lokalregulert jord, og forhindrer utenlandsk tilgang til data under alle omstendigheter. Det gir et pålitelig miljø for lagring og behandling av data som ikke kan overføres på tvers av landegrenser, og må forbli under én jurisdiksjon.

Hvor skydataene befinner seg kan være avgjørende for å sikre kontroll over dem. Foto: TietoEVRY 
Hvor skydataene befinner seg kan være avgjørende for å sikre kontroll over dem. Foto: TietoEVRY 

Karlstad poengterer at digital suverenitet egentlig handler om å beskytte og låse opp verdien av kritiske data. Modne og veletablerte skyløsninger er en del av et fremvoksende multiskylandskap. De gir også de andre kjernefordelene med skyen som smidighet, sikkerhet og automatisering.

– Til syvende og sist bør digital suverenitet være en del av en multiskystrategi. Det krever forståelse for at ikke alle data er like, og at det er forskjeller mellom skyer, sier hun og fortsetter:

– I et samfunn hvor vi genererer stadig økende mengde data, vil bevisstgjøringen av hvor dataene blir lagret og hvordan de faktisk blir benyttet, være i den enkeltes interesse. Dette er viktig for å støtte opp under tillit og vilje til å ta i bruk innovative datadrevne løsninger som vi som samfunn er helt avhengige av.

Fem anbefalinger for å sikre digital suverenitet

  1. Klassifiser dataene dine. For kritiske og sensitive data, reduser alle risikoer, inkludert digital suverenitet og risiko for utenlandsk tilgang.
  2. Opprett en rolle som Chief Data Privacy Officer eller personvernombud i organisasjonen din.
  3. Forstå dataflytene dine og utfør en vurdering av personvernkonsekvenser (DPIA) før du går over til skyen.
  4. Skift strategi fra Cloud First til Cloud Smart, og distribuer riktige data i riktig sky.
  5. Engasjer en partner som din pålitelige multisky-rådgiver for å veilede deg.

TietoEVRY opplever en økende etterspørsel etter nasjonale skyer som kan sikre behovene til nordiske organisasjoner og oppfylle lovkrav. Vi er her for å guide deg gjennom labyrinten, så ikke nøl med å kontakte oss.

Var denne artikkelen nyttig?

Les flere artikler fra Tietoevry