Öryggisráðstafanir ábyrgðaraðila vegna vistunar persónuupplýsinga í tölvuskýi
Áhættumat vegna fyrirhugaðrar vinnslu í tölvuskýi
Nauðsynlegt er að útbúa ítarlegt áhættumat áður en vinnsla hefst.
Markmið áhættuats er meðal annars að leiða í ljós hvort forsendur séu til staðar fyrir flutningi gagna í tölvuský, og þá hvernig tölvuský, en það skal meðal annars gert með greiningu á áhættuþáttum og með hliðsjón af trúnaðarstigi og lögum og reglum sem við eiga.
Lykilatriði er því að sá sem ber ábyrgð á vinnslu persónuupplýsinga, svokallaður ábyrgðaraðili, viti hvar, hvernig og hverjir vinna með persónuupplýsingarnar sem hann ber ábyrgð á.
Niðurstöður áhættumats skulu bornar upp á móti metnum ávinningi af innleiðingu skýjalausnar, en ekki er sjálfgefið að útvistun viðkvæmra persónuupplýsinga sé heimil.
Ýmis fyrirtæki og einstaklingar í verktöku taka að sér að aðstoða við framkvæmd áhættumats.
Fjármála- og efnahagsráðuneytið, í samstarfi við Persónuvernd og Rekstrarfélag Stjórnarráðsins, hefur gefið út leiðbeiningar til ríkisstofnana um notkun á tölvuskýjalausnum sem hafa má til hliðsjónar við mat á því hvort taka skuli í notkun slíka þjónustu, en leiðbeiningarnar geta að sjálfsögðu nýst öðrum en ríkisstofnunum.
Leiðbeiningarnar innihalda meðal annars gátlista vegna fyrirhugaðrar innleiðingar á skýjaþjónustu. Þá er þar að finna umfjöllun um áhættumat í tengslum við vistun gagna í skýjalausnum, en markmið þess er að leiða í ljós hvort forsendur séu til staðar fyrir flutningi gagna í tölvuský, og þá hvers konar tölvuský.
