Vet du hvor dataene dine lagres, og hvem som har tilgang til dem?

Folk som jobber med beredskap og krisehåndtering er opptatt av gode systemer der data lagres sikkert. I en verden der skybaserte tjenester er stadig mer utbredt, er det likevel ikke en selvfølge at det kun er din egen virksomhet som har tilgang til dine lagrede data. Dette avhenger av hvor maskinene til skylagringstjenesten befinner seg. Det er heller ingen selvfølge at dataene faktisk lagres i Norge.

Mister oversikt over data som fraktes ut av landet

I Norge stilles det klare krav til personopplysninger som sendes ut av landet. I Personopplysningsloven heter det at: «Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene». I praksis betyr det at persondata kan overføres til land innenfor EU/EØS, siden disse landene baserer seg på samme regelverk som Norge.

Tenk deg at ditt selskap bruker en tjeneste for beredskap og krisehåndtering som driftes i Norge. Tenk deg videre at denne leverandøren eies av et selskap som ikke er begrenset av EUs direktiver, eller bruker en skylagringstjeneste som ikke er bundet av disse.

I begge tilfellene kan det påvirke hvem som har tilgang på dine data, og hvordan din virksomhet overholder regler for personvern og GDPR. Det er viktig å ha oversikt over hvor data blir lagret, hvor data blir prosessert og hvor tjenester blir levert fra.

Underleverandører og tredjeparter kan ha innsynsrett i dine data. Lovgivningen i landet der skylagringstjenesten hører hjemme kan altså ha stor betydning for hvem som har tilgang på dine data. Endringer i amerikansk personvernpolitikk vil for eksempel ha konsekvenser for norske virksomheter som overfører personopplysninger til USA eller andre land utenfor EU/EØS.

Uheldig hvis data ender i feil land

Samtidig viser Politiets Sikkerhetstjeneste (PST) sin nasjonale trusselvurdering for 2020 at land som Kina, Russland og Iran er aktører som ønsker å vite mer om hvordan vi driver krisehåndtering i Norge. Hvis det viser seg at din skybaserte tjeneste ender opp med å ha denne type nasjonaliteter på eiersiden, kan det i verste fall få uheldige konsekvenser.

I ytterste konsekvens kan informasjon fra ditt beredskaps og krisehåndteringssystem bli brukt sammen med andre data, og bidra til at fremmede makter kan finne strukturer og svakheter i norsk måte å håndtere sikkerhet og beredskap på.

Denne type problemstillinger er det lett å overse. Selv om leverandøren du bruker i utgangspunktet er norsk, kan denne igjen ha sine leverandører som enten har eierstrukturer eller systemer i land som ikke har samme regelverket eller intensjoner som her i landet. Når data fraktes ut av landet, kan du ikke være sikker på hvor de ender. Hvis du vet at din tjenesteleverandør for beredskap og krisehåndtering lagrer data i Norge, er dette en risiko du ikke løper.

Bekymret over skytjenester som driftes i utlandet

Nasjonal sikkerhetsmyndighet (NSM) er bekymret over at norske virksomheter har gjort seg avhengige av skytjenester driftet i utlandet. I sin årlige rapport som kartlegger det digitale risikobildet påpeker de blant annet at økt bruk av utenlandske skytjenester gir nye sårbarheter og økt risiko utover virksomhetens eget domene.

Det er viktig å påpeke at NSM er positive til at man bruker skytjenester dersom man gjør gode vurderinger på at informasjon blir lagret på en trygg og sikker måte, uten fare for lekkasjer. Derfor må du forsikre deg om at din leverandør av skytjenester tar datasikkerhet på alvor. Du kan ikke gå ut ifra at informasjon som omhandler sikkerhet og beredskap i din virksomhet ikke kan tilfalle og brukes av uvedkommende.

F24 Nordics sin tilnærming

F24 Nordics drifter CIM, vårt digitale system for sikkerhet og beredskap, fra sikre datasenter i Norge. Datasentre der vi både eier infrastrukturen og der sentrene er geografisk separerte. Våre datasentre er godkjent av norske myndigheter, og offentlige myndigheter etterser at sikkerhetskravene overholdes.

Vet du hvem som har tilgang til skyen der du lagrer dine data? Hvis du jobber med beredskap og sikkerhet bør du være opptatt av dette og stille spørsmålet til din leverandør av støttesystem for beredskap og krisehåndtering.

Jan Terje Sæterbø

Jan Terje Sæterbø

Jan Terje er Prosjekt- og sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder, og har også en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet.

Koronapandemien-6-tips-2020-blogg

Koronapandemien – 6 tips som gjør at du står sterkere hvis vi får en oppblomstring

Da sitter jeg her da – en erfaring rikere. Svaret på Covid-19 testen var negativ og jeg tenker at det var jammen nære på. Alle symptomer på Korona var der, ikke tap av smaksans, men samtlige andre. 6 dagers ventetid på test! Tenk det! Jeg trodde virkelig vi hadde lært nå, og fått på plass […]

Les mer

Beredskap vs. krisehåndtering – likheter og forskjeller

Beredskapsplanlegging handler om å vurdere bedriftens risiko og få på plass prosesser for å håndtere en potensiell nødsituasjon. Krisehåndtering går ut på hvordan faktiske situasjoner håndteres i øyeblikket. De to fagområdene arbeider side ved side for å hjelpe organisasjoner til å takle hendelser som truer kontinuitet i den daglige driften. Krisehåndtering og beredskapsplanlegging er begge […]

Les mer

Har du spørsmål knyttet til våre produkt og tjenester?

Ta gjerne kontakt via telefon, e-post, eller i kontaktskjema under.
Send oss dine spørsmål og få svar.