Vet du hvor dataene dine lagres, og hvem som har tilgang til dem?

Folk som jobber med beredskap og krisehåndtering er opptatt av gode systemer der data lagres sikkert. I en verden der skybaserte tjenester er stadig mer utbredt, er det likevel ikke en selvfølge at det kun er din egen virksomhet som har tilgang til dine lagrede data. Dette avhenger av hvor maskinene til skylagringstjenesten befinner seg. Det er heller ingen selvfølge at dataene faktisk lagres i Norge.

Mister oversikt over data som fraktes ut av landet

I Norge stilles det klare krav til personopplysninger som sendes ut av landet. I Personopplysningsloven heter det at: «Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene». I praksis betyr det at persondata kan overføres til land innenfor EU/EØS, siden disse landene baserer seg på samme regelverk som Norge.

Tenk deg at ditt selskap bruker en tjeneste for beredskap og krisehåndtering som driftes i Norge. Tenk deg videre at denne leverandøren eies av et selskap som ikke er begrenset av EUs direktiver, eller bruker en skylagringstjeneste som ikke er bundet av disse.

I begge tilfellene kan det påvirke hvem som har tilgang på dine data, og hvordan din virksomhet overholder regler for personvern og GDPR. Det er viktig å ha oversikt over hvor data blir lagret, hvor data blir prosessert og hvor tjenester blir levert fra.

Underleverandører og tredjeparter kan ha innsynsrett i dine data. Lovgivningen i landet der skylagringstjenesten hører hjemme kan altså ha stor betydning for hvem som har tilgang på dine data. Endringer i amerikansk personvernpolitikk vil for eksempel ha konsekvenser for norske virksomheter som overfører personopplysninger til USA eller andre land utenfor EU/EØS.

Uheldig hvis data ender i feil land

Samtidig viser Politiets Sikkerhetstjeneste (PST) sin nasjonale trusselvurdering for 2020 at land som Kina, Russland og Iran er aktører som ønsker å vite mer om hvordan vi driver krisehåndtering i Norge. Hvis det viser seg at din skybaserte tjeneste ender opp med å ha denne type nasjonaliteter på eiersiden, kan det i verste fall få uheldige konsekvenser.

I ytterste konsekvens kan informasjon fra ditt beredskaps og krisehåndteringssystem bli brukt sammen med andre data, og bidra til at fremmede makter kan finne strukturer og svakheter i norsk måte å håndtere sikkerhet og beredskap på.

Denne type problemstillinger er det lett å overse. Selv om leverandøren du bruker i utgangspunktet er norsk, kan denne igjen ha sine leverandører som enten har eierstrukturer eller systemer i land som ikke har samme regelverket eller intensjoner som her i landet. Når data fraktes ut av landet, kan du ikke være sikker på hvor de ender. Hvis du vet at din tjenesteleverandør for beredskap og krisehåndtering lagrer data i Norge, er dette en risiko du ikke løper.

Bekymret over skytjenester som driftes i utlandet

Nasjonal sikkerhetsmyndighet (NSM) er bekymret over at norske virksomheter har gjort seg avhengige av skytjenester driftet i utlandet. I sin årlige rapport som kartlegger det digitale risikobildet påpeker de blant annet at økt bruk av utenlandske skytjenester gir nye sårbarheter og økt risiko utover virksomhetens eget domene.

Det er viktig å påpeke at NSM er positive til at man bruker skytjenester dersom man gjør gode vurderinger på at informasjon blir lagret på en trygg og sikker måte, uten fare for lekkasjer. Derfor må du forsikre deg om at din leverandør av skytjenester tar datasikkerhet på alvor. Du kan ikke gå ut ifra at informasjon som omhandler sikkerhet og beredskap i din virksomhet ikke kan tilfalle og brukes av uvedkommende.

F24 Nordics sin tilnærming

F24 Nordics drifter CIM, vårt digitale system for sikkerhet og beredskap, fra sikre datasenter i Norge. Datasentre der vi både eier infrastrukturen og der sentrene er geografisk separerte. Våre datasentre er godkjent av norske myndigheter, og offentlige myndigheter etterser at sikkerhetskravene overholdes.

Vet du hvem som har tilgang til skyen der du lagrer dine data? Hvis du jobber med beredskap og sikkerhet bør du være opptatt av dette og stille spørsmålet til din leverandør av støttesystem for beredskap og krisehåndtering.

Jan Terje Sæterbø

Jan Terje Sæterbø

Jan Terje er Prosjekt- og sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder, og har også en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet.

Varsling via meldinger fra telefon

9 ting du må huske ved kjøp av alarm og varslingssystem

Når du skal kjøpe alarm og varslingssystem, er det visse funksjoner og tjenester du bør vurdere. Varslingssystemer er omfattende og de har mange ulike fokus. Befolkningsvarsling, Servicevarsling, Gruppevarsling, Beredskapsvarsling, Mobiliseringsvarsling, Alarm og Lokasjonsvarsling – kjært barn har mange navn og mulighetene er mange. Når varslingssystemer er så omfattende er det viktig å forstå at de […]

Les mer

Sikringsfaget er verdisentrert – åtte grunner til hvorfor fokuset på verdier i sikkerhetsstyringen bør styrkes

Verdi, trussel, sannsynlighet, sårbarhet, konsekvens og avhengigheter er seks faktorer som virksomhetsikkerhetsforskriften krever at virksomheter underlagt sikkerhetsloven skal ta hensyn til når de vurderer risiko. Bedre forståelse I stadig større omfang evner virksomheter, offentlige som private, å legge disse faktorene til grunn når risiko vurderes. Men fremfor å anskueliggjøre faktoren «verdi» i en situasjon der […]

Les mer

Har du spørsmål knyttet til våre produkt og tjenester?

Ta gjerne kontakt via telefon, e-post, eller i kontaktskjema under.
Send oss dine spørsmål og få svar.