Anna Hee Ustvedt

Sådan sørger du for at være GDPR-compliant – uanset om dit leasing-system er on-premise eller i skyen

Når du arbejder i leasingbranchen, er du nødt til at indsamle og opbevare forskellige personfølsomme informationer på dine kunder – fx navn, fødselsdato, indkomst, adresse, email, cpr-nummer, etc. Det er dit ansvar, at disse data behandles i overensstemmelse med GDPR – også selvom de opbevares på servere, der er outsourcet til partnere og leverandører.

I denne blogpost dykker vi ned i, hvad du skal være opmærksom på i forhold til GDPR - uanset om dit leasing-system er on-premise, i en private cloud eller i en public cloud.

leasing cloud

 

On-premise, private og public cloud

Lad os begynde med at afklare, hvad det vil sige, at dit leasing-system er henholdsvis: on-premise, i en private cloud eller i en public cloud.

Med en on-premise løsning installeres dit leasing-system på en lokal server – man kunne også kalde det for local cloud - der fysisk er placeret indenfor væggene i din virksomhed. Når systemet er installeret, står du selv for løbende vedligeholdelse og opdateringer af serveren. Du har altså fuld kontrol over dit leasing-system, men samtidig også ansvaret for, at systemet altid fungerer optimalt og det kræver, at du råder over de nødvendige IT-kompetencer.

Opbevares dit leasing-system i en private cloud er softwaren installeret på en server udenfor din virksomhed - fx hos din softwareleverandør eller hos en hostingpartner. Med en private cloud løsning ved du ofte, hvor serveren geografisk er placeret og hvem, der har adgang til den, men du behøver ikke selv investere i det hardware, der skal opbevare systemet. Du tilgår leasing-systemet via internettet.

Ligger dit leasing-system fx i en private cloud hos Fiftytwo, vælger du selv i hvor høj grad du vil varetage vedligeholdelse og opdateringer. Ønsker du mere kontrol samt råder over de nødvendige IT-kompetencer kan du vælge selv at tage dig af det. Ønsker du derimod at frigive tid og ressourcer, kan du lave en aftale med os om, at vi tager os af driften.

I en public cloud løsning er alle fælles om den samme løsning, som det eksempelvis er tilfældet med Facebook, der alene eksisterer i skyen, hvor leverandøren forestår al service, vedligeholdelse, udvikling og holder styr på serverkapacitet og funktionalitet. På samme måde udbyder Microsoft Dynamics 365 Business Central – som er den platform 52LEASING er bygget på - i public cloud, hvilket betyder at man kan abonnere på et fuldt økonomisystem inklusive drift, servere og overvågning. Denne platform er endnu ikke i stand til at håndtere højt integrerede løsninger som 52LEASING, og Fiftytwo arbejder derfor kontinuerligt på at udvikle produktet til at være klar til public cloud - når public cloud er klar til 52LEASING.

 

Hvilken løsning er mest GDPR-compliant?

For mange, der vælger en on-premise løsning, handler det netop om compliance. Med en on-premise-løsning har du fuld kontrol over, hvordan dine data håndteres. I leasingbranchen, hvor der stilles høje krav til sikkerheden, kan det være svært at have tillid til, at andre kan leve op til sikkerhedskravene i samme grad som en selv. Denne overbevisning er dog ikke altid sand. Hvis ikke du har de nødvendige ressourcer in-house, så kan det vise sig at være mere sikkert med et leasing-system hos en private eller public cloud udbyder, der råder over sikkerhedskompetencer og som sørger for, at dit system jævnligt sikkerhedsopdateres.

 

Hvad skal du være opmærksom på?

Uanset om dit leasing-system er on-premise, i en private cloud eller i en public cloud, skal du altid sikre dig, at der udelukkende opbevares nødvendige data, og at data slettes lige så snart, det ikke er nødvendigt at opbevare længere.

Vælger du at placere dit leasing-system i en private eller public cloud er det vigtigt, at du forinden sætter dig grundigt ind i cloud udbyderens databehandleraftale. Du er dataansvarlig, og det er derfor dit ansvar, at dine kunders data behandles i overensstemmelse med GDPR. Du er den dataansvarlige og din cloud udbyder er databehandleren.

Databehandleraftalen fortæller, hvordan databehandleren håndterer data på vegne af dig (den dataansvarlige). Det er et juridisk bindende dokument mellem dig og din databehandler. Med en databehandleraftale kan du sikre dig, at dine data bliver behandlet korrekt og i overensstemmelse med GDPR.

Overvejer du en cloud udbyder med en fysisk server udenfor EU er det vigtigt at være ekstra opmærksom på, at sikkerhedsniveauet stemmer overens med GDPR-reglerne. Det vil ofte være tilfældet, men det er nødvendigt at være på den sikre side, og få det gjort klart i en databehandleraftale.

Har du besluttet dig for at opbevare dit leasing-system i en private cloud bør du indgå en tydelig aftale om ansvarsfordelingen med din cloud udbyder. Hvem har fx ansvaret for at sikkerhedsopdatere? Ønsker du at overlade ansvaret til din private cloud udbyder, er det en god idé at sikre sig, at du får et overblik over hvem, der helt præcis har adgang til serveren.

 

New call-to-action