<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=614121&amp;fmt=gif">
Kontakt oss

Cefalo og overholdelse av GDPR

Flere av våre kunder forvalter persondata som en del av sin virksomhet. Da er det viktig at GDPR-regelverket overholdes.

Når kunder som forvalter persondata samarbeider med Cefalo, vil det ofte være nødvendig eller praktisk at Cefalos utviklere får tilgang til disse dataene i ulike sammenhenger. I slike tilfeller må vi sørge for å overholde GDPR-regelverket. Dette vil i praksis være et delt ansvar mellom Cefalo og kunden.

GDPR og Schrems II

I GDPR-terminologi er kunden behandlingsansvarlig. Cefalos utviklere utfører oppgaver for kunden, men Cefalo har ingen interesse av dataene i seg selv. Cefalo er dermed en databehandler. Det at Cefalos utviklere får tilgang til persondata defineres i GDPR som en eksport av persondata. Det spiller ingen rolle om data fysisk flyttes til Cefalo-utviklernes utstyr, eller om Cefalo-utviklerne kun har tilgang til data som er lagret på utstyr som er kontrollert av kunden. GDPR betrakter begge tilfellene som eksport av persondata.

Siden Cefalos utviklere befinner seg i Bangladesh, et land som ikke har GDPR som en del av sin lovgivning, har vi i GDPR-terminologi å gjøre med eksport av persondata til et tredjeland. Kravene for å kunne eksportere persondata til tredjeland er omtalt i GDPR-teksten og ytterligere presisert i den såkalte Schrems II-dommen fra 2020. Schrems II-dommen forbyr ikke eksport av persondata til tredjeland, slik som mange synes å tro, men den skjerper inn kravene til sikkerhetstiltak.

Hva sier så GDPR og Schrems II om disse kravene? For det første må man ha på plass en såkalt databehandleravtale som beskriver rettighetene og pliktene til både kunden og Cefalo (henholdsvis behandlingsansvarlig og databehandler). Siden Bangladesh ikke er underlagt GDPR skal databehandleravtalen inneholde et vedlegg kalt standard kontraktsvilkår. Dette er en tekst utarbeidet av EU-kommisjonen, som omskriver  GDPR-lovteksten til kontraktsform. På denne måten forplikter Cefalo seg til å følge GDPR, ikke fordi man er underlagt GDPR som lov, men fordi man forplikter seg gjennom avtalen.

For det andre må man ha på plass tilstrekkelige sikkerhetstiltak. Det at persondata skal beskyttes er et viktig grunnleggende prinsipp i GDPR, men i tilfellet eksport til tredjeland legger Schrems II ekstra vekt på tekniske og organisatoriske sikkerhetstiltak, siden myndighetene i landet ikke har forpliktet seg til å overholde GDPR. 

Legg merke til at GDPR krever «tilstrekkelige» sikkerhetstiltak. Tiltakene har en kostnad. GDPR krever sikkerhetstiltak som står i et rimelig forhold til den ulempen det ville være for de registrerte om persondataene kommer på avveie. Hvorvidt det er snakk om vanlig kontaktinformasjon (forholdsvis liten ulempe), eller svært private data som for eksempel sykdomshistorikk (forholdsvis stor ulempe) spiller en rolle. Forventingene til sikkerhetstiltak for disse to scenariene vil være ulike.

Kundens ansvar

Cefalo lagrer aldri kundedata, men Cefalos utviklere vil ofte ha tilgang til kundedata som ligger lagret på systemer kunden (altså du) disponerer. Siden dette er systemer kunden har kontroll over må kunden sørge for at dataene er underlagt god tilgangskontroll. Dette innebærer blant annet:

  • Kun personlige brukere for pålogging
  • Multi-faktor autentisering
  • Logging av aktivitet, varsling ved mistenkelig oppførsel (f.eks. mange
    mislykkede påloggingsforsøk)
  • Rutiner for å deaktivere tilgangen for utviklere som ikke lenger trenger den
  • Gradert tilgang hvis mulig

Det er viktig at all kommunikasjon er kryptert. Bruk av VPN med multifaktorautentisering anbefales der det er relevant.

I noen tilfeller vil utviklere måtte laste ned data til lokal harddisk i forbindelse med testing under utvikling. I slike tilfeller bør man legge opp til at det gis tilgang til pseudonymiserte testdata.

I nyutvikling er det viktig at man at man legger opp til prinsippet om innebygd personvern.

Det man kan merke seg er at ingen av disse tiltakene egentlig er spesielle for utviklere i Bangladesh. Alle disse tiltakene trenger man også å implementere for utviklere som er lokalisert i Norge.

Cefalos sikkerhetstiltak

Cefalo har implementert en rekke organisatoriske og tekniske sikkerhetstiltak for å imøtekomme regelverket.

For det første gjøres det bakgrunnssjekk av alle kandidater før de blir ansatt, inklusive sjekk av referanser fra tidligere arbeidsgiver og/eller universitet. Alle ansatte må undertegne en fortrolighetsavtale som en del av sin ansettelsesavtale. 

Det jobbes også systematisk med opplæring, motivasjon og bevissthet rundt kvalitet og sikkerhet. Alle ansatte får en innføring i GDPR og prinsippene for innebygd personvern. Vi har rutiner for hvordan eventuelle brudd på sikkerhetsrutinene skal rapporteres til personvernombudet. Cefalo er også ISO-27001-sertifisert.

Mange bedrifter fjerner de ansattes administratortilgang på PCene som et teknisk sikkerhetstiltak. Det kan kan vi ikke gjøre i Cefalo; alle ansatte er utviklere som vil trenge full tilgang til maskinen for å kunne gjøre jobben sin. Cefalo har imidlertid et sett med sikkerhetsregler (en «security policy») som alle ansatte er forpliktet til å følge. Sikkerhetsreglene sier blant annet:

  • Alle harddisker skal være kryptert
  • Alle brukerkontoer er personlige, det er ikke tillatt å «låne dem bort»
  • Passord må være sikre
  • Maskiner skal ha skjermlås som skal være aktivert når man ikke er i nærheten
  • Det er ikke tillatt å bruke jobb-PC til private formål
  • Operativsystem og annen programvare skal alltid holdes oppdatert med nyeste sikkerhetspatcher
  • Det er ikke tillatt å installere ulisensiert programvare

Reglene følges opp med rutinemessige kontroller: Alle PCer sjekkes jevnlig av IT-teamet. Google login benyttes som SSO-løsning og sørger for at reglene for passord følges. Nettverksaktivitet logges slik at det er mulig å ettergå ved behov.

Som nevnt vil Cefalo aldri lagre data for kundene eller drifte kundens applikasjoner lokalt. Som en konsekvens er Cefalos infrastruktur minimal. Dette er en fordel sett fra et sikkerhetsperspektiv. Hvis en ser bort fra enkelte administrative systemer (regnskap/lønn, HR etc) har infrastrukturen kun som oppgave å gi de ansatte nettilgang, samt å tilrettelegge for videomøter. Foruten nettverket består Cefalos infrastruktur av skytjenester: Google Workspace, Github, Atlassian, JIRA og så videre. 

Google login med to-faktor-autentisering benyttes som SSO-løsning der hvor dette støttes, inklusive på VPN-løsningen.

Hva med myndighetene i Bangladesh?

Ulike land har ulike lover knyttet til personvern. Det er heller ikke alltid samsvar mellom lov og praksis i alle land. Det å vurdere hvor sterkt personvernet står i et tredjeland er en komplisert juridisk øvelse vi ikke skal begi oss inn på her. Dette er da også årsaken til at Schrems II legger stor vekt på sikkerhetstiltak når persondata eksporteres til tredjeland.

Cefalo har operert i Bangladesh i mer enn ti år. Vår erfaring er at myndighetene i Bangladesh ønsker å stimulere til vekst i IT-sektoren ved å legge forholdene til rette for IT-selskaper. Cefalo har aldri fått noen forespørsel fra myndighetene om å utlevere data, og vi anser risikoen for at dette skal skje som svært liten. Likevel er Cefalo forpliktet gjennom databehandleravtalen til å bestride krav fra myndighetene med alle midler loven tillater, samt å varsle kunden om at et krav er fremmet.

cefalo-prikker-horis

Er du nysgjerrig på ekstern utvikling? Vi tar gjerne en hyggelig prat med deg på telefon, møte eller video.

Snakk med oss om utviklere

Tom Handegård

Skrevet av Tom Handegård

CTO & Co-founder, Cefalo.

Hold deg oppdatert

Abonner på bloggen og få en samling av våre nyeste bloggposter på e-post.

Sign up to our blog