Skytjenester kan være lokalisert med datasentre i ett eller flere land for den samme tjenesten (f.eks. ved behov for redundans, sikkerhetskopiering på alternativt sted, ressursdeling, oppskalering av ytelser mv.). Leverandøren kan ha underleverandører som tilbyr support på ulike lokasjoner, herunder utenfor EU/EØS.
Dette kan gi et komplekst bilde med både juridiske og sikkerhetsmessige utfordringer. Utfordringene kan være på områder som sikring, generell behandling, innsyn, logger, lagring, sletting mv. av helse- og personopplysninger.
Andre problemområder er ansvars- og risikofordeling, og rolledeling mellom virksomhet, leverandør og underleverandør. Dette kan ofte være en kjede på tvers av landegrenser som det fort kan bli komplisert og vanskelig å holde oversikt over.
Siden leveransen av tjenesten skjer fra ulike steder og man «ikke ser» leverandøren, kan også forståelsen av ansvaret være mer utfordrende.
Virksomheten kan for eksempel ha en oppfatning av at alt som bygges eller lagres på en skyplattform er tilstrekkelig sikret, uten å ha forstått at skyleverandøren i hovedsak sikrer den underliggende skyplattformen og at data- og applikasjonsansvaret forblir hos virksomheten.
I de forskjellige tjeneste- og leveransemodellene kan det være ulike grader av sikkerhetsutfordringer. Se kap.3.3 for mer om overføring av personopplysninger utenfor EU/EØS.
Det finnes flere eksempler på områder som kan utgjøre en trussel:
- Virksomheten mister kontroll på helse- og personopplysningene ved at leverandøren behandler opplysningene på annen måte eller til andre formål enn det som er avtalt med og følger av instruksen fra dataansvarlig.
- Ved bruk av skytjenester kan det produseres mer overskuddsinformasjon som benyttes til andre formål.
- Sikkerhetsrisiko knyttet til tredjeparter og underleverandører (andre deler av leveransekjeden). Dette kan for eksempel være partnere, sårbarheter i programvarebiblioteker, underleverandører, konkurs, osv.
- Løsepengevirus, etterretningsoperasjoner (Advanced persistence threat - APT), DDOS (tjenestenekt) og datatyveri og salg av informasjon på det mørke nettet.
- Leverandøren selger eller uautorisert deler data/informasjon til kommersielle formål. Denne type risiko vil også være knyttet til annen form for tjenesteutsetting.
- Leverandør behandler helse- og personopplysningene i strid med databehandleravtalen.
- Leverandøren benytter eller skifter underleverandører som ikke meldes til virksomheten. Virksomheten skal vite hvem som er involvert i behandling av helse- og personopplysninger.
- Leverandører har standard avtaletekster som ikke er i samsvar med personvernforordningen.
- Skytjenesten er av en slik karakter at virksomheten er innlåst i leverandørens løsning der det er krevende eller umulig å skifte fra en leverandør til en annen. For å unngå innlåsing er det viktig å tenke på en evakueringsplan når kontrakten inngås.
- Avhengighet mot leveranser fra annen skyleverandør (f.eks. lisenser på produkter)
