Lagar som strider mot GDPR

  • Lagar som strider mot GDPR

    Det finns idag flera regelverk att förhålla sig till, inte minst Europeisk lagstiftning som GDPR, men även amerikanska regelverk som CLOUD Act, Fisa702 och Privacy Shields ogiltigförklarande gällande informationslagring. Även om amerikanska molntjänster erbjuder lagring inom EU till svenska företag, är det otroligt svårt för dessa att uppnå kraven enligt GDPR. Varför då? Jo, låt oss kort förklara.

    • CLOUD Act
      Via den amerikanska lagen CLOUD Act har amerikanska myndigheter tillgång till data som lagras på amerikanska molntjänster, även om denna lagras inom EU. Amerikanska bolag tvingas därmed att lämna ut dina personuppgifter, på grund av denna lag.
    • Privacy Shield
      Dataskyddsavtalet Privacy Shield tillät tidigare överföringar av EU-medborgares personuppgifter till USA. Däremot är avtalet nu ogiltigförklarat och domen innebär att det inte längre är tillåtet att överföra personuppgifter som tillhör EU-medborgare till amerikanskt ägda molntjänster. Det är exempelvis inte lagligt att hantera personuppgifter i amerikanskt ägda molntjänster, som exempelvis Google Drive, Dropbox och Onedrive.
    • FISA 702
      Foreign Intelligence Surveillance Act som innebär att amerikanska myndigheter kan genomföra elektronisk övervakning och få tillgång till data som lagras i amerikanska molntjänster. De flesta svenska företag och organisationer har rutiner för att följa EU:s lagstiftning för hantering av personuppgifter (GDPR). Men utifrån det världsläge vi har idag är dessa punkter minst lika viktiga att tänka på när ett företag väljer molntjänst för att lagra, dela och samarbeta med digital information.

    Planera långsiktigt och tänk noggrant igenom valet av molninfrastruktur innan du påbörjar en flytt.
    Välj därmed en helt europeisk molntjänstleverantör som erbjuder datahallar inom EU och som även uppfyller kraven enligt GDPR. På så sätt behöver du inte oroa dig över utländsk lagstiftning och dess möjliga påverkan, eller risken att din data delas till tredjeland. Genom att använda en svensk molntjänst är din information helt trygg. Vi på Storegate är ett svenskt alternativ på den europeiska marknaden och med vår molninfrastruktur påverkas du inte av utländska lagar som förändras över tid.

    För mer information, vänligen kontakta info@storegate.com.

    Hur ska vi som organisation hantera ogiltigförklarandet av Privacy Shield?

  • Sedan Privacy Shield ogiltigförklarades av EU-domstolen den 16 juli 2020 råder det osäkerhet på marknaden gällande vilka följder detta medför.

    Många organisationer behöver kunna föra över personuppgifter till USA, till exempel om en underleverantör eller partner är placerad där. Föreskrifterna för att överföra personuppgifter till tredje land är enligt GDPR väldigt stränga. Transit får endast ske om EU godkänt att mottagardestinationen lever upp till samma eller bättre skyddsnivå som EU, eller att man kan åberopa Standardavtalsklausuler. För att bedöma om en sådan överföring med stöd av standardavtalsklausuler är laglig krävs en bedömning av rättssystemet i det land som personuppgifterna överförs till. Det vill säga om till exempel standardavtalsklausulerna ger ett tillräckligt bra skydd för de registrerades personuppgifter. Något som få, om än några företag och organisationer i världen har möjlighet att bedöma. Nu rekommenderar vi att alla som överför personuppgifter till USA med stöd av Privacy Shield vidtar åtgärder för att säkerställa att man lever upp till GDPR.

    Ställ er själva följande frågor:

    • Har vi dataflöden till amerikanskt ägda molntjänster som innehåller personuppgifter?
    • Kan vi kontrollera våra leverantörer att vår data lagras på ett korrekt sätt när Privacy Shield ogiltigförklarats? Kontrollera även underleverantörer.
    • Bör vi gå igenom våra integritetspolicys och ta bort hänvisningar till Privacy Shield?
    • Kommer detta påverka våra personuppgiftsbiträdesavtal? Säkerställ att överföringar till USA inte sker baserat på Privacy Shield.
    • Säkerställ att era GDPR-register som innehåller hänvisningar till Privacy Shield uppdateras. Dessa är man skyldig enligt GDPR att hålla uppdaterade.
    • Har vi klart för hur vi ska svara våra kunder, elever, partners m.m. som har frågor gällande ogiltigförklarandet av Privacy Shield?

    Vi på Storegate erbjuder 30 min kostnadsfri konsultation. Vi pratar mer än gärna om hur ni med hjälp av Storegates tjänster kan leva upp till GDPR och hantera ogiltigförklarandet av Privacy Shield på ett korrekt sätt.

    Maila info@storegate.com för att boka ditt möte.

     

          

    EU-domstolen stoppar dataskyddsavtalet Privacy Shield

  • Här samlar vi några värdefulla länkar gällande EU-domstolens ogiltigförklarande av Privacy Shield

    ”EU-domstolen har nyligen slagit fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.”

     

    – EU-domstolen nekar känslig dataöverföring till USA
    Sveriges Radio (16 juli, 2020)
     – EU-domstolen: Privacy Shield räcker inte som skydd för personuppgifter
    Computer Sweden (16 juli, 2020)
    – Ny dom kan hindra Facebook från att flytta data från EU till USA
    Dagens Nyheter (16 juli, 2020)
     – Nytt nej till dataavtal mellan EU och USA
    Svenska Dagbladet (16 juli, 2020)

     

    Hör av dig via vårt kontaktformulär om du vill ha tips på hur ni kan undvika ovan beskrivna problem med Storegates svenska molntjänster.

    Fem skäl att lagra företagets filer i ett svenskt moln

  •  

    Alla svenska företag, kommuner och myndigheter har information som kan klassas som känslig eller verksamhetskritisk. Här berättar vi om fem skäl till varför svenska företag och myndigheter bör hantera sådan information i ett svenskt moln.

    1. Lagring i Sverige under svensk lag
    Genom att använda en svensk molntjänst, som utvecklar egna tjänster och lagrar all information i Sverige, får man en molntjänst som lyder under svensk lag.

    2. 100% skydd mot CLOUD Act
    Genom att lagra och dela filer i en helsvensk molntjänst får man 100% skydd mot den nya amerikanska lagen CLOUD Act som gäller om man använder amerikanska molntjänster för att lagra och dela filer.

    3. Enklare att följa GDPR
    Genom att använda en helsvensk molntjänst (som lyder under svensk lag) blir det enklare att följa GDPR då man slipper bekymra sig för utländska lagars möjliga påverkan över tid.

    4. Arbeta i flera plattformar men lagra i Sverige, under svensk lag
    Genom att komplettera befintliga molntjänster med en helsvensk molntjänst kan man fortsätta att arbeta i exempelvis Office 365 men lagra och dela företagets filer under svensk lag. 

    5. Svensk support
    Genom att anlita en helsvensk molntjänst bör man också få svensk support. Med Storegate får man i alla fall det. Dessutom hjälper vi till med både rätt lösning och att komma igång om så önskas.

     

    Kan man då inte använda utländska molntjänster alls?

    Jo absolut. Storegate är integrerade med bland annat Microsoft Office Online så man kan arbeta i Office 365 och med alla Office-program men löpande lagra alla filer i vårt blågula moln, under svensk lag.

    Kontakta oss så berättar vi mer om hur Storegate hjälper dig ta kontroll över dina filer.

    Hur Storegate hjälper företag och föreningar att följa GDPR

  • Den 25 maj 2018 trädde GDPR, de nya dataskyddsreglerna inom EU i kraft och många företag och föreningar arbetar fortfarande med att uppfylla kraven. En enkel åtgärd är att använda Storegate för lagring och delning av filer i molnet. Storegate uppfyller kraven på om att information skall lagras inom EU (all data finns i Sverige), loggning av händelser på tjänsten samt upprättande av giltigt Personuppgiftsbiträdesavtal, till skillnad mot många andra molntjänster. Nedan går vi igenom mer praktiskt hur Storegate hjälper er med att uppfylla GDPR.

    Åtkomst till konto och autentisering

    Hela tjänsten är utvecklad med er integritet i fokus och när ni skapar ert konto på Storegate har vi skapat förutsättningar för att ni själva ska kunna välja ett starkt användarnamn och lösenord som är anpassad efter ert företags policy. Bland annat genom:

    • Lösenordsfaktorer (lägst antal tecken som krävs av siffror, specialtecken versaler etc.)
    • Lösenordsåterställning från administratören eller via support
    • Begränsat antal inloggningsförsök (brute force-skydd)
    • Möjlighet till utloggning av andra enheter
    • Tokenbaserad Oauth-inloggning för klienter och webb
    • Tvåstegsverifiering med appar som har stöd för TOTP-protokollet, ex. Microsoft- samt Google Authenticator

    Åtkomst till data

    Individuella och gruppbaserade behörigheter gör att man kan konfigurera åtkomsten till filerna/mapparna.

    Utökad fildelning

    Gör att man kan bestämma vilka utanför gruppen som skall komma åt filer/mappar med olika inställningar som t.ex. lösenordsskydd, dölja befintliga filer vid filinsamling, sätta gräns för antal nedladdningar etc

    Papperskorg

    Skyddar mot att oavsiktligt förlora information. På Team-kontot hanterar administratören detta för alla gemensamma filer.

    Kryptering av data

    Både vid överföring och när det lagras på servrarna (i molnet).

    Versionshantering

    Gör att man enkelt kan återskapa tidigare versioner av filer.

    All data lagras i Sverige

    Krav på lagring i EU enligt GDPR.

    Loggning av händelser

    Ger möjlighet att se vad som historiskt hänt med filer.

    Rättigheten att bli glömd

    Då all data lagras på ett ställe är det enklare att hitta och radera specifika filer.

    Åtgärd vid intrång

    Genom händelseloggen så kan man se vad som hänt vid eventuellt intrång.

    Säkerhet genom användarvänlighet

    Genom att ha enkla verktyg för rättigheter och inställningar ökar möjligheten att säkra lagrad information. Har man avancerade tjänster är det lätt att slutanvändare inte utnyttjar tjänsten på rätt sätt eller i värsta fall inte alls.

     

    Ytterligare information om säkerhet och GDPR hittar du här:

    https://www.storegate.com/se/sakerhet-tillganglighet/

    https://www.storegate.com/se/gdpr/

     

    Har du andra frågor gällande tjänsten så hör gärna av dig på support@storegate.com

     

    Hälsningar

    Storegate Supportavdelning

    CLOUD Act – Ny lag påverkar användare av amerikanska molntjänster

  • Att den amerikanska presidenten Donald Trump den 23 mars skrev under ett nytt lagförslag är vida känt. Dokumentet omfattade 2.000 sidor och innehöll budgetposter till en kostnad av 1.300 miljarder dollar. Så långt inget konstigt. Det som däremot inte är så känt är att i detta digra dokument även fanns med något som går under namnet CLOUD Act (The Clarifying Overseas Use of Data). Detta är ett antal nya lagar som tillåter amerikanska myndigheter att komma åt lagrad data utomlands och vice versa. Det är en uppdatering av existerande ECPA (Electronic Communications Privacy Act) från 1986 som blivit utdaterad. I USA har detta diskuterats flitigt i media, men i Europa har detta hamnat i skymundan av den stora GDPR-debatten (General Data Protection Regulation) som införs i EU den 25 maj.

    Vill du läsa mer om hur detta påverkar dig som användare av amerikanska molntjänster så beskrivs det bra i denna artikel.

    https://www.makeuseof.com/tag/cloud-act-data-privacy/

    Vill du använda en svensk molntjänst som inte lyder under CLOUD Act så är du välkommen till oss på svenska Storegate AB. Vi tror på företagets och individens integritet och vi garanterar att:

    • All information lagras i Sverige under svensk lagstiftning.
    • Storegate inte använder information som lagrats i annat syfte än att lagra den åt våra kunder.
    • Kunden behåller äganderätten till all information som lagrats i Storegates molntjänst.

    Trygga hälsningar

    Matz Karlsson

    VD, Storegate AB

    Det handlar inte enbart om GDPR!

  • GDPR skyddar individens rätt vid lagring av personuppgifter. Ur företagens synvinkel så finns andra aspekter som är minst lika viktiga att tänka på när man väljer molntjänst för att lagra, dela och samarbeta med företagets filer.

    För att uppnå kraven enligt GDPR tvingas amerikanska molntjänster erbjuda lagring också inom EU till svenska företag. Är det då riskfritt att använda dessa tjänster? Ja kanske vad det gäller GDPR (det är ju lite andra krav för GDPR också) men det många inte tänker på, när man använder utländska molntjänster, är att man exponerar företagets lagrade filer (och företaget) för utländska lagar. Därför bör man vara mycket noggrann med vilken typ av information företaget lagrar på dessa tjänster. Med Storegate behöver du inte fundera på detta alls. Vi är ett helsvenskt företag som verkar under svensk lag, precis som våra kunder.

    Amerikansk lagstiftning är stark och den kan inte molntjänstleverantörer som Google, Microsoft, Dropbox m.fl. avtala sig ifrån. Ett exempel på detta är hur man på Karolinska Institutet måste varna sina användare för vilken typ av information man sparar i molntjänsten Box. Nedan går att läsa på Ki:s hemsida.

    ”Vilka filer ska jag inte lägga i KI Box?”
    ”Sekretessbelagd/skyddsvärd information, som till exempel information som kan leda till patent, får inte sparas i KI Box då avtalen inte innehåller något skydd mot att annat lands lagstiftning tillämpas. Box kan inte avtala bort den amerikanska lagstiftningen i detta avseende.”

    ”Generellt ska inga personuppgifter som rör forskningspersoner sparas i KI Box, då de oftast räknas som skyddsvärd information.”

     

    3 sätt att skydda dig mot ransomware

  • I stundens hetta är det lätt att klicka på en länk utan att tänka efter. Det är mänskligt. Och ibland, som med det aktuella WannaCry-viruset, så behöver vi inte ens klicka på något för att åka dit. Därför är det är viktigt att ni på företaget tänker efter innan. Det finns sätt att minska risken, och framför allt för att hindra eller minimera skador om ni råkar ut för ett gisslan-virus, eller ransomware.

    Det finns 3 ganska enkla saker att ha koll på för att stå emot eller klara en attack, eller dess effekter.

    1) Backup – helst med versionshantering och papperskorg

    Det kan låta självklart, och en del säger att det inte ens hjälper eftersom backupen också smittas – men det kan det absolut göra, det är ju ändå en eller flera extra uppsättningar av dina filer. Om det hjälper dig i en malware-situation beror på hur tjänsten för backup du använder fungerar, och hur du har ställt in den. Till exempel så har vi på Storegate svartlistat filändelser som vi vet kommer från olika typer av malware, virus och trojaner. Givetvis kommer det nya, men vi är snabba på bollen.
    Dessutom så innehåller en bra backup både versionshantering och en papperskorg
    Har du det i din backuptjänst? Så att du kan gå bakåt till tidigare versioner av filer? I det här fallet filer som inte är smittade? Se till att du har det, och att funktionen är aktiverad. Har du även en papperskorg i din tjänst så kan denna vara räddningen, eftersom en del virus kastar dina filer och ersätter dem med krypterade. Har din backuptjänst en papperskorg så hamnar de oskadade filerna där. Det kan låta konstigt, men papperskorgen kan blir din räddning.*

    2) Bra antivirus och brandvägg

    Du har väl antivirus och brandvägg? Malware kommer ofta via fler hål för att undvika att upptäckas av ditt skydd, så det är viktigt att ha bägge varianterna. Det finns så klart en mängd leverantörer av programvara, men en vi rekommenderar är ESET.
    Se till att programvarorna är aktiva och uppdaterade, och kanske även inställda efter rekommendationer från tillverkaren. Kika in på deras hemsida och se om de skriver något om aktuella risker, och skickar de ut nyhetsbrev så sätt upp dig på listan. Då får du information när du behöver det. Du kan också följa dessa i sociala medier, så har du ännu en kanal för information när det behövs. (Det gäller så klart alla dina digitala tjänster.)
    Är det inte du som sköter sådana här frågor, så kolla med den som är IT-ansvarig. Det händer mycket inom säkerhet så en påminnelse är aldrig fel. Om ni drabbas blir ditt jobb blir också svårt, det kanske är du som får stå till svars inför kunder, inte kan fakturera, leverera eller på något annat sätt sköta ditt jobb. 

    3) Gör alla uppdateringar

    Det är alltid viktigt. Alltid. Microsoft, Apple och andra som gör din programvara och ditt operativsystem vill att du ska gilla att använda deras produkter och känna dig trygg när du jobbar i det – därför fixar de så snabbt de kan hål och luckor i säkerheten, men du måste själv se till så att du är uppdaterad. I nästan varje uppdatering så tätas något hål, och du blir tryggare. Se över dina inställningar, oavsett om du kör PC eller Mac, det bästa är om du låter programvaran eller operativsystemet säga till när det behövs. Men kolla gärna. En gång extra.

     

    Har du koll på alla tre? Bra! Då vet du att du gjort vad du kunnat, och kan jobba på i lugn och ro. Någorlunda, i alla fall.

     

    *Har du ett konto hos oss på Storegate? Då har du versionshantering och papperskorg, logga bara in och se så att de är aktiverade. Har du frågor eller funderingar, kontakta vår support.

    Är en svensk molntjänst för datalagring bättre än en utländsk?

  • sthlm_tak_flagga

    Många undrar idag var de ska lägga sin data, och varför. Och vad behandling av personuppgifter egentligen innebär. Enkelt uttryckt så är det så att om du har ett föreningsprotokoll, kontaktuppgifter till medlemmar eller anställda, eller ditt kundregister sparat – då behandlar du personuppgifter. Gör du det som företagare eller organisation, då blir du per automatik Personuppgiftsansvarig. Och det medför ansvar.

    Många svenska företagare funderar på hur och var de lagrar sina filer. Och det är inte utan anledning, för ett par saker blir annorlunda beroende på hur du väljer att göra.

    Genom att använda en svensk molntjänst..:

    • …med servrar i Sverige uppfyller du kraven i Bokföringslagen om att all räkenskapsinformation ska förvaras i Sverige.
    • …uppfyller du kraven i Personuppgiftslagen om att du ska säkerställa att din leverantör tillämpar svensk lag vid behandling av personuppgifter.
    • …kan du vara säker på att den lagrade datan inte kommer att kunna lämnas ut till amerikanska myndigheter.
    • … kan du vara säker på att svensk lag kommer att gälla för avtalet, att all kommunikation och avtalstext med din leverantör är på svenska samt att eventuella krav från tredje part om att lämna ut data kommer att hanteras i svensk domstol.
    • …med servrar i Sverige kan du vara säkra på att personuppgifter inte överförs till ett land utanför EU, för vilket annars ställs särskilda krav.

    Så en svensk molntjänst är bättre? Man kan säga så här: Det förenklar din ansvarsbild och din kontroll av din juridiska situation som användare av en molntjänst. Det blir helt enkelt enklare för dig att veta att du följer lagen.

    /Matz Karlsson, VD, Storegate AB

    Läs gärna mer om bakgrunden till uttalandena ovan och svensk lagring (och skaffa plats i vårt blågula moln) på storegate.se

     

    Många är oroliga över EU:s nya dataskyddsförordning. Bör du vara det?

  • svenska_molntjanster2Enligt en undersökning* har 97% av svenska företag ingen plan för hur de ska anpassa sin personuppgifts- och datahantering till GDPR, EU:s nya dataskyddsförordning. Bara 9% anser att de kommer vara förberedda när den träder i kraft. Kommer du att vara det?

    De flesta har inte koll på vad förordningen innebär, och vet inte heller riktigt hur de ska förbereda sig. 39% säger att de inte är förberedda och 28% vet inte om de är det. På flera sätt är företag beroende, eller gör sig beroende, av sina leverantörer av IT- och molntjänster och att de gör de förberedelser som behövs.

    På Storegate är vi förberedda. Lagarnas utformning i kombination med den nya förordningen gör att det blir juridiskt enklare för alla parter om företaget är helsvenskt och själva servrarna står i Sverige. Som det är för vår del. Just nu jobbar vi internt med den dokumentation och processbeskrivning som krävs, och kommer att vara förberedda och färdiga även med det i god tid.

    Även om svenska företag är dåligt förberedda, och överträdelser mot förordningen kan innebära dryga böter, så är de enligt undersökningen inte lika oroliga som det europeiska genomsnittet, men det kanske de borde vara? Är du?

    Framöver berättar vi mer om hur det fungerar och varför, samt vad du behöver göra för att känna dig trygg – men har du frågor så tveka inte att höra av dig.

     

    Följ oss på sociala medier via knapparna längst ned på sidan för att inte missa några nyheter framöver.

    Fakta – GDPR:

    EU:s nya dataskyddsförordning, GDPR (General Data Protection Regulation), reglerar hur personuppgifter och data ska hanteras inom EU och med parter utanför EU, s.k. ”tredje land”. Förordningen påverkar i princip alla bolag och organisationer som har med människor att göra och ersätter på sitt plan personuppgiftslagen (PuL). Förordningen har skapats för att skydda EU-medborgares integritet och träder i kraft i maj 2018. Överträdelser kan innebära företagsböter på 10% av bolagets omsättning.

    *Undersökningen utfördes av Dell och här kan du läsa den i sin helhet.