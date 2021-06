Det pågår för närvarande ett par olika projekt för att klargöra hur molntjänster kan användas i Europa utan att det bryter mot dataskyddsregler som GDPR.

Ett sådant är framtagandet av uppförandekoder, code of conduct, som den europeiska molnbranschen arbetat med tillsammans med integritets- och dataskyddsmyndigheter i EU.

De här ska fungera som en stämpel på att en viss molntjänst är kompatibel med GDPR. Nu har de här uppförandekoderna fått grönt ljus av den dataskyddsmyndighet som gått i bräschen för det här arbetet, nämligen den belgiska. Dessutom har det övergripande EU-dataskyddsorganet Europeiska dataskyddstyrelsen, EDPB, gett sitt godkännande, och sammantaget innebär detta att de här koderna kommer att rullas ut i hela unionen. Det säger Anders Jonson, som är grundare av Secureappbox och som varit med i den arbetsgrupp som jobbat fram uppförandekoderna.

Anders Jonson.

– Det här är ett viktigt genombrott. Den del av uppförandekoderna som berör infrastruktur som tjänst, mjukvara som tjänst och plattform som tjänst är klar. Nu kan molnleverantörerna genom att ansluta sig till dessa koder visa att man efterlevnad mot GDPR.

Oberoende kontrollorgan

Anders Jonson säger att uppförandekoderna består av två delar, dels en kontrollkatalog som utgörs av ett antal kravställningar och som nu är offentliggjord och finns att ta del av här.

Sedan en oberoende organisation och kontrollorgan – Scope Europe – som är de som kontrollerar att molntjänsterna uppfyller de kravställningarna enligt katalogen och därmed efterlever GDPR.

Rent praktiskt kommer det att gå till så att molnleverantörerna betalar en summa till kontrollinstansen Scope Europe för en viss tjänst, hur mycket det rör sig om skiljer sig åt beroende på tjänst och storlek på leverantör. Om de uppfyller kraven får de en certifiering som de kan visa upp mot kunderna. På det här sättet kan företag och myndigheter över hela EU nu välja och upphandla godkända molntjänster som alla uppvisar en bra grund för dataskydd.

När koderna, som går under det officiella namnet EU cloud code of conduct, presenterades under ett seminarium nyligen kommenterade David Stevens, som är chef över den belgiska dataskyddsmyndigheten, resultatet på följande sätt:

– Godkännandet har uppnåtts tack vare ett tajt samarbete inom den europeiska dataskyddsstyrelsen och det är ett viktigt steg mot en harmoniserad tolkning och tillämpning av GDPR i en viktig sektor för hela den digitala ekonomin.

Fler uppförandekoder på väg

Tanken är nu att det arbete som den europeiska molnindustrin har gjort ska vara det första av en rad liknande initiativ i andra branscher som till exempel den finansiella sektorn.

– Molntjänster är den första koden som kom ut, eftersom det är den viktigaste infrastrukturen, säger Anders Jonson. Nu kommer det säkert byggas moduler på det här, för till exempel e-hälsa eller tredjelandsöverföringar efter Schrems II.

De reaktioner som kommit in hittills från de stora amerikanska molnleverantörerna är positiva till uppförandekoderna. IBM:s molnchef i Europa Agnieszka Bruyère, säger i en kommentar:

– Det viktigaste med uppförandekoderna är att GDPR-beredskapen blir enkel att verifiera. Det är goda nyheter för användare och offentliga verksamheter i hela Europa, som kommer att få det lättare att bedöma de tjänster som erbjuds och att dra nytta de möjligheter som molnet ger.

Microsoft säger i en kommentar att de har 140 Azure-tjänster som godkänts.

– Vi stöder starkt initiativ som tillgodoser kundernas behov av dataskyddsefterlevnad och som ökar förtroendet för molntjänster, säger Casper Klynge, som är chef över offentlig sektor i Europa.

Anders Jonson på Secureappbox säger att uppförandekoderna även är en stor möjlighet för mindre molnleverantörer.

– För mindre, innovativa bolag är det en fantastisk möjlighet, att kunna visa upp en sådan här förtroendestämpel gentemot internationella företag. Vi är liten aktör jämfört med jättarna hos de europeiska kunderna, men nu kan vi visa upp att vi är en av de leverantörer som uppfyller de här kraven.

Ett europeiskt molnpussel

Hur fungerar då uppförandekoderna i relation till andra europeiska molnprojekt som pågår nu, som till exempel Gaia-X?

Anders Jonson säger att de olika projekten är lite som ett pussel som ska få den europeiska molnmarknaden att fungera.

– Det hänger ihop, men Gaia-X fungerar mer som en marknadsplats som syftar till att etablera bra europeiska molntjänster medan uppförandekoderna är inriktade på efterlevnad av GDPR. Uppförandekoder kommer vara en central del i Gaia-X precis som molncertifieringsramverket EUCS från Enisa.