Svensk data suveränitet i M365 miljöer: En nyckel till GDPR-efterlevnad

Microsoft 365 (M365) har blivit en central plattform för företag och offentlig sektor i Sverige, med dess omfattande verktyg för kommunikation, samarbete och dokumenthantering. Fördelarna är tydliga – effektivitet och ökad produktivitet. Trots detta står företag inför en stor utmaning när det gäller att efterleva GDPR samt en oro för FISA och Cloud Act.

”Otydlighet i vad som gäller kring tredjelandsöverföringar kräver nya lösningar som är hållbara över tid, här behövs en tjänst som möjliggör att organisationer vågar investera och använda publika molntjänster som idag redan är i bruk.”

I takt med den snabba utvecklingen av det digitala landskapet uppstår nya utmaningar när det gäller att säkerställa kontroll över företagsinformation och efterlevnad av lagar. Särskilt för organisationer som använder Microsoft 365 (M365) blir det en komplex uppgift att behålla kontrollen över sina data när de migrerar från lokala tjänster till en molnplattform.

 Denna övergång kräver en noggrann hantering av informationen, särskilt om den omfattas av lagstiftning som GDPR eller andra regulatoriska ramar.

Att säkerställa skyddet av företagsinformation genom kryptering med lokala nycklar ges möjlighet att lagra och behandla data inom M365 samtidigt som man upprätthåller kontrollen och överensstämmer med krav på suveränitet och kryptering.

man sitting and thinking with a GDPR and Microsoft logo above him

Utmaningar med M365 och GDPR-efterlevnad

För många företag är användningen av M365 en grundpelare i deras IT-struktur. M365 används brett inom både företag och offentlig sektor. Trots dess popularitet finns det begränsningar i den inbyggda plattformen att uppnå svensk suveränitet och stilla sin oro för att information ska hamna i fel händer.

Microsoft erbjuder idag inbyggda krypteringslösningar och metoder att skydda sin information, problemet med detta är att nyckeln och din data ägs och hanteras av Microsoft, det öppnar för att information kan läcka samt att du tappar kontrollen över din data.

Riskmedvetenhet: FISA och Cloud Act

En annan kritisk aspekt är riskmedvetenheten kring FISA (Foreign Intelligence Surveillance Act) och Cloud Act, lagar som kan ha implikationer för datalagring och -hantering i molntjänster som inte är geografiskt bundna till Sverige. Att ha en egen krypteringsnyckel blir därmed avgörande för att möta dessa risker och upprätthålla svensk suveränitet över data.

Krypteringstjänster

För att bemöta dessa utmaningar erbjuder Complior en tjänst som möjliggör för företag att koppla en egen krypteringsnyckel till M365. Detta erbjudande är inte bara en garanti för att upprätthålla svensk suveränitet över för sin data, utan också ett kraftfullt sätt att säkerställa efterlevnad av GDPR och andra regelverk. Lösningen möjliggör att organisationer som använder M365 kan skapa en lokalt lagrad nyckel som används för att kryptera och skydda sin information i molnet.

Nyckeln lämnar aldrig säkra datacenter i Sverige eller kundens kontroll, vilket gör att man uppnår HYOK (Hold Your Own Key). All information i M365 skyddas med kundens egen nyckel och Microsoft har aldrig direkt tillgång till nyckeln, det är din data men deras moln.

A laptop with a browser showing a secure locked lock, and different data icons around it

Vad är en KMS (Key Management System)?

Key Management System (KMS) är ett system som används för att skapa, hantera och säkra kryptografiska nycklar. Dessa nycklar är avgörande för att kryptera och dekryptera information, vilket säkerställer att informationen förblir privat och skyddad från obehörig åtkomst. KMS gör det möjligt att generera starka och unika kryptonycklar och säkerställer att de hanteras på ett säkert sätt. Det innebär att endast behöriga personer och system har tillgång till nycklarna och kan använda dem för att kryptera eller dekryptera data.

Man putting the final piece together in a jigsaw

Integrering med M365 och SharePoint

Du kan nu automatisera dataskydd och kontroll av nyckelhantering för M365 och SharePoint-filer, samt Exchange-e-post. Använda dynamisk dataklassificering och åtkomstkontroll, när den paras ihop med en vår KMS-tjänst kan den automatiskt kryptera känsliga dokument för att begränsa åtkomsten till endast auktoriserade användare.

Microsoft 365 applikationer som SharePoint, Office, OneDrive, and Exchange, plus din lokala SharePoint och filserver kan idag skyddas genom kryptering och åtkomstkontroller med din egen privata nyckel.

Fördelar med Dynamisk Datakryptering

Dynamisk kryptering säkerställer att organisationens affärskritiska data skyddas enligt företagets regelverk. Det är också kompatibelt med både moln- och hybridmiljöer, vilket ger förbättrad åtkomstkontroll och informationsskydd överallt där M365-appar används.

Glöm inte din lokala filserver.

Förutom M365 och SharePoint använder du samma lösning för att skydda din information från dataläckage i realtid. Detta innebär dynamisk och kontinuerlig övervakning och revision av data för att skydda mot dataintrång, obehörig åtkomst, delning eller missbruk. Du säkerställer säkerhet genom kryptering och en logg samt rapportfunktioner.

Sammanfattning

Compliors integrerade säkerhetslösningar, inklusive vår KMS som tjänst, är utformade för att möta de unika utmaningar som svenska organisationer står inför i en alltmer digitaliserad värld. Genom att erbjuda avancerade krypteringstjänster för M365 och SharePoint, samt förbättrat skydd för fillagring, hjälper vi våra kunder att säkerställa efterlevnad av GDPR och andra regelverk, samtidigt som vi upprätthåller högsta möjliga informationssäkerhet och suveränitet.

a folder with documents secured by a lock

GDPR

Allmänna dataskyddsförordningen (GDPR) är en europeisk lagstiftning som antogs för att skydda individers personliga integritet och reglera behandlingen av personuppgifter. När det gäller lagring av personliga data i molntjänster, har GDPR en direkt inverkan på hur företag och organisationer hanterar och skyddar sådan information.

En central princip i GDPR är att personuppgifter bara får samlas in och behandlas om det finns en laglig grund och om det sker på ett rättvist och transparent sätt. När personuppgifter lagras i molntjänster, blir det viktigt att säkerställa att tjänsteleverantören uppfyller GDPR:s krav på dataskydd. Detta inkluderar att säkerställa adekvata säkerhetsåtgärder för att skydda mot obehörig åtkomst, förlust eller förändring av data.

Cloud Act

Cloud Act, eller Clarifying Lawful Overseas Use of Data Act, är en amerikansk lag som antogs för att hantera frågor kring gränsöverskridande dataaccess och integritet. Denna lag möjliggör för amerikanska myndigheter att kräva att molntjänsteleverantörer, oavsett var data lagras globalt, tillhandahåller information för brottsutredningar. Cloud Act syftar till att underlätta samarbete mellan länder och förenkla processen för att få tillgång till elektronisk information över gränserna.

En viktig aspekt är att Cloud Act tillåter amerikanska företag att utmana rättens beslut om att lämna ut data, om de anser att det skulle bryta mot lagar i det land där datan är lagrad. Samtidigt har denna lag även väckt oro och debatt över integritetsfrågor, då den kan innebära ökad övervakning och risker för användarnas personliga data.

FISA

Foreign Intelligence Surveillance Act (FISA) är en amerikansk lag, syftet med FISA är att reglera insamlingen av ”foreign intelligence information” för ändamål relaterade till nationell säkerhet. Lagens bestämmelser ger amerikanska myndigheter befogenhet att använda olika metoder för att samla in relevant information, inklusive avlyssning av kommunikation och åtkomst till information lagrat i molntjänster.

Lagen etablerades som svar på behovet av att balansera behovet av underrättelsetjänster med skyddet av medborgarnas rättigheter och integritet. Genom FISA skapas en rättslig ram som styr hur underrättelsetjänster kan samla in information om utländska agenter och organisationer som utgör hot mot USA:s nationella säkerhet.

Eftersom FISA har uppdaterats flera gånger under åren, har den anpassats till förändrade teknologier och hot. Till exempel tillkom möjligheten att övervaka kommunikation som sker genom moderna teknologiska plattformar och lagring av data i molntjänster.

Andra Blogginlägg