Til deg som skal til NKUL – blir du med på en liten dugnad?

Blir du med på en dugnad på NKUL om skytjenester og sikring av personopplysninger som kan bli riktig spennende om mange blir med? Først vil jeg si at dette gjør jeg ikke for å lage dårlig stemning eller henge ut noen. Jeg gjør det fordi jeg faktisk lurer og fordi skytjenester og personopplysninger unektelig er i vinden for tiden. Selvfølgelig kunne jeg gjort det helt selv også, men det er mye enklere (og kjekkere) om flere blir med.

Gangen i det er – blant utstillerne på NKUL velger du et én tilbyder av en eller annen form for skytjeneste. I en hyggelig og høflig interessert tone klemmer du inn disse spørsmålene:

  • Hvor blir brukerdata lagret?
  • Hvordan sikrer dere brukerdata vi lagrer hos dere?
  • Sletter dere alle brukerdata når vi eventuelt sier opp avtalen hos dere?
  • Hvordan kan jeg vite (altså sjekke) at dere gjør det du nettopp har fortalt meg?

Det siste spørsmålet er det vanskelige spørsmålet – hvordan vet jeg at du som leverandør faktisk gjør det du lover i databehandleravtalen / kontrakten? Jeg, som behandlingsansvarlig, kan ikke bruke deg som databehandler uten at jeg faktisk kan sjekke dette. Hvordan vet jeg om du bryter kontrakten eller ikke, om jeg ikke kan kontrollere det på en eller annen måte? Og hvordan gjør vi det? Får jeg komme på besøk selv for å sjekke sjekke rutinedokumenter, risikoanalyser, avviksrapporter og serverrom? Eller har dere en uavhengig tredjepart som sjekker dette og får jeg lese rapporten deres? Eller om dere gjør dette selv – får jeg lese disse rapportene?

Bare for å ta et eksempel – tilbyder sier at alt blir lagret på deres tjenere. Hvis de med dette mener virtuelle tjenere hos Amazon AWS (eller Microsoft Azure) er dette noe helt annet enn tjenere i kjelleren i kontorbygget deres. Og selv om de sier at det er på lokale tjenere i kjelleren – hvordan kan jeg kontrollere at de ikke bruker Amazon AWS likevel?

Hvis du så etter beste evne fyller inn svarene du fikk i dette skjemaet (gjerne sjekk skjema på forhånd) – lover jeg at jeg skal blogge om svarene som har tikket inn. Selvfølgelig har du lov til å snakke med flere og sende inn flere skjema…

Er du med? :-)

PS! Jeg synes jo også at de som står på utstillingene for ulike tjenester bør kunne svare på deler av dette – igjen fordi skytjenester og personopplysninger er et stadig aktuelt spørsmål.