Endast 1 % av molntjänstleverantörerna uppfyller dataskyddsförordningens krav?
Enligt en undersökning som genomförts av molnsäkerhetsföretaget Skyhigh Networks använder en genomsnittlig organisation 738 molntjänster i sin verksamhet. Undersökningen bygger på en analys av över 7 000 molntjänstleverantörer och resulterade bland annat i följande intressanta slutsatser:
– 23 % av molntjänstleverantörerna har avtal som ger dem rätt att dela med sig av data till utomstående (tredjeman, ex. en underleverantör)
– 63 % av leverantörerna lagrar uppgifter på obestämd tid eller saknar gallringsrutiner (och åtar sig inte att radera data i sina allmänna villkor)
– 67 % av alla datacentra är etablerade i USA men endast 8,9 % av de amerikanska molntjänstleverantörerna har Safe Harbor-certifiering
– 99 % av EU:s molntjänstleverantörer skulle bryta mot dataskyddsförordningen om den gällde idag(!)
Som bekant kan ageranden i strid med dataskyddsförordningen aktualisera långtgående sanktioner och betydande bötesbelopp. Mot bakgrund av studien är den sammantagna bilden att många företag är utsatta för stora risker om de inte är beredda på en omställning. Det är alltså hög tid för molntjänsteleverantörer och företag som använder sig av molntjänster att se över sin verksamhet och förbereda sig inför förordningens krav, något som även påpekades av Charlie Howe, Skyhigh Networks europachef, i samband med att studien publicerades:
“It’s staggering how few cloud providers are prepared for the new EU regulations but, fortunately, there’s still time for providers to get into shape. This means addressing a number of complex issues now, such as the right to be forgotten, as well as implementing data protection policies that meet these new standards,”
När företagen måste vara klara med omställningen till förordningen är ännu något ovisst. Som vi tidigare skrivit om kan ett slutgiltigt förordningsförslag komma att presenteras i år, men det kan också bli senare. Ett ikraftträdande sker hursomhelst omkring två år efter att ett slutgiltigt förslag har offentliggjorts (artikel 91 i Kommissionens respektive Parlamentets förslag). Då måste verksamheten ha anpassats efter de nya kraven.