Google Cloud och den allmänna dataskyddsförordningen

Introduktion

Allmänna dataskyddsförordningen (GDPR, General Data Protection Regulation)

Den 25 maj 2018 kommer den viktigaste europeiska dataskyddslagen de senaste 20 åren att träda i kraft. EU General Data Protection Regulation (GDPR) ersätter 1995 EU Data Protection Directive. GDPR stärker individers rättigheter som berör personliga uppgifter och är avsedd att göra dataskyddslagar i Europa enhetliga, oavsett var data bearbetas.

Du kan förlita dig på att Google följer GDPR i alla Google Cloud-tjänster. Vi är fast beslutna att hjälpa våra kunder med GDPR-efterlevnad genom att tillhandahålla robusta sekretess- och säkerhetsskydd som vi har byggt in i våra tjänster och avtal under årens lopp.

Vad du kan göra

Vad har du för ansvar som kund?

G Suite1 och Google Cloud Platform-kunder är oftast dataansvariga för de personliga uppgifter som uppges till Google i samband med användningen av Googles tjänster. Den dataansvarige bestämmer syftet med och metoden för att bearbeta personliga uppgifter, och databearbetaren behandlar datan på uppdrag av den dataansvarige. Google är en databearbetare som behandlar personliga uppgifter på uppdrag av den dataansvarige när denne använder G Suite eller Google Cloud Platform.

Dataansvariga ska införa lämpliga tekniska och organisatoriska åtgärder för att se till och visa att all databehandling genomförs i enlighet med GDPR. De dataansvarigas uppgifter följer principer som lagenlighet, rättvisa och insyn, begränsning av syfte, dataminimering och korrekthet, och uppfyller de registrerades rättigheter med avseende på deras data.

Om du är dataansvarig hittar du information om dina skyldigheter enligt GDPR genom att regelbundet besöka webbplatsen för dataskyddsmyndigheten i ditt land enligt GDPR (om tillämpligt) 2, samt genom att läsa publikationer av datasekretessinstanser som IAPP (International Association of Privacy Professionals).

Du bör även söka oberoende juridisk rådgivning som gäller din status och dina skyldigheter i enlighet med GDPR. Du behöver rätt juridisk rådgivning för just din situation. Tänk på att informationen på den här webbplatsen inte är avsedd att vara eller ersätta juridisk rådgivning.

Börja här

För alla nuvarande och framtida Google Cloud-kunder är det viktigt att börja förbereda sig inför GDPR. Här är några tips:

  • Bekanta dig med villkoren i GDPR. Det är särskilt viktigt att du tar reda på hur dessa skiljer sig från dina nuvarande skyldigheter inom dataskydd.
  • Överväg att skapa en uppdaterad översikt över de personliga uppgifter som du hanterar. Du kan identifiera och klassificera data med hjälp av våra verktyg.
  • Granska befintliga kontroller, policyer och processer för att bedöma om de uppfyller GDPR-kraven och ta fram en plan för att åtgärda eventuella luckor.
  • Fundera över hur du kan utnyttja befintliga dataskyddsfunktioner i Google Cloud som en del av ditt ramverk för regelefterlevnad. Gå igenom material för tredjepartsgranskningar och -certifieringar för G Suite eller Google Cloud Platform och se hur dessa kan vara till hjälp.
  • Håll reda på uppdaterade riktlinjer och skaffa juridisk rådgivning för att hålla dig informerad om sådant som gäller för just ditt företag.

1 G Suite for Business och G Suite for Education ingår i G Suite.

2 Vi rekommenderar att du söker oberoende juridisk rådgivning för att ta reda på vilken som är dataskyddsmyndigheten i ditt land.

DET HÄR GÖR VI

Åtaganden enligt GDPR för G Suite och Google Cloud Platform

Dataansvariga ska bland annat endast välja databearbetare som garanterar implementering av lämpliga tekniska och organisatoriska åtgärder på ett sätt som gör att bearbetningen uppfyller kraven i GDPR. Här är några punkter som bör ingå i bedömningen av G Suite- och Google Cloud Platform-tjänsterna.

KUNSKAP, TILLFÖRLITLIGHET OCH RESURSER FRÅN EXPERTER

Dataskyddsexpertis

Bland Googles personal inom säkerhet och sekretess ingår några av världens främsta experter inom informations-, program- och nätverkssäkerhet. Det här teamets uppgift är att upprätthålla företagets skyddssystem, förbättra processerna för säkerhetsgranskning, bygga säkerhetsinfrastrukturer och implementera Googles säkerhetspolicyer.

Google anlitar även ett omfattande team av jurister, efterlevnadsexperter och specialister på offentliga policyer som ansvarar för Googles sekretess- och säkerhetsefterlevnad.

Dessa team har kontakt med kunderna, branschintressenter och tillsynsmyndigheter så att våra G Suite- och Google Cloud Platform-tjänster utvecklas på ett sätt som hjälper kunderna att uppfylla efterlevnadskraven.

DATASKYDDSÅTAGANDEN

Databearbetningsavtal

Våra sekretessåtaganden gentemot våra kunder framgår tydligt i databearbetningsavtalen för G Suite och Google Cloud Platform. Vi har utvecklat de här villkoren under åren utifrån den feedback vi fått från kunder och tillsynsmyndigheter.

Den senaste tiden har vi uppdaterat villkoren i enlighet med GDPR-ändringarna och gjort de nya villkoren tillgängliga i god tid innan GDPR träder i kraft för att våra kunder ska kunna utvärdera efterlevnad och vara redo för GDPR när de använder Google Cloud-tjänster.

Våra kunder kan nu ingå de uppdaterade databearbetningsvillkoren enligt anvisningarna här för G Suites tillägg för databearbetning och här för GCP-villkoren för databearbetning och säkerhet. De uppdaterade villkoren börjar gälla från och med 25 maj 2018 när GDPR träder i kraft.

Bearbetning enligt instruktioner

All data som anges i våra system av kunderna och deras användare bearbetas enbart efter kundens instruktioner, enligt villkoren i våra nuvarande och GDPR-uppdaterade databearbetningsavtal.

Personalens åtaganden om konfidentialitet

Alla som är anställda hos Google måste skriva under ett sekretessavtal och genomgå obligatorisk utbildning i konfidentialitet och sekretess, samt vår utbildning om Uppförandekod. Googles uppförandekod handlar om ansvar och beteende i samband med informationsskydd.

Användning av underleverantörer

Google-gruppens företag utför det mesta av den databearbetning som krävs för att tillhandahålla G Suite- och Google Cloud Platform-tjänsterna. Vi anlitar även vissa tredjepartsleverantörer som stöder oss i detta. Alla våra leverantörer genomgår en grundlig urvalsprocess för att se till att rätt teknisk expertis finns och att rätt sekretess- och säkerhetsnivå upprätthålls.

Vi tillhandahåller information om Google-gruppens underleverantörer som stöder G Suite och Google Cloud Platform-tjänsterna, samt underleverantörer som ingår i tjänsterna. Åtaganden avseende underleverantörer ingår även i våra nuvarande och uppdaterade databearbetningsavtal.

SÄKERHET FÖR TJÄNSTERNA

Enligt GDPR ska den dataansvarige och databearbetaren implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig skyddsnivå för risken.

Googles globala infrastruktur är utformad för att tillhandahålla den allra senaste säkerheten under hela informationshanteringens livscykel. Infrastrukturen är byggd för att tillhandahålla säker driftsättning av tjänster, säker datalagring med sekretesskontroller för slutanvändaren, säker kommunikation mellan tjänster, och säker och privat kommunikation med kunder via internet, samt säker drift av administratörer. G Suite och Google Cloud Platform körs i den här infrastrukturen.

Säkerheten i vår infrastruktur har konstruerats i lager som bygger på varandra, från den fysiska säkerheten i våra datacenter till säkerhetsskydd i maskin- och programvara, samt processerna som stöder driftssäkerheten. Det här skyddet i flera lager utgör en robust säkerhetsbas för allt som vi gör och erbjuder. Detaljerad information om säkerheten i vår infrastruktur finns i översikten över säkerhetsutformningen i Googles infrastruktur.

Tillgänglighet, integritet och motståndskraft

Google skapar plattformskomponenter med mycket hög redundans. Våra datacenter är geografiskt placerade för att minimera effekterna av regionala störningar som naturkatastrofer och lokala avbrott i globala produkter. Om det uppstår något maskinvaru-, programvaru- eller nätverksfel övergår tjänsterna automatiskt och direkt från en anläggning till en annan och driften fortsätter utan avbrott. Infrastrukturens höga redundans hjälper kunderna att förhindra dataförlust.

Tester

Google genomför katastrofåterställningstester varje år, där olika team som ansvarar för infrastruktur och program kan testa kommunikationsplaner, redundansscenarier, driftövergång och andra nödsituationer på en gemensam plattform. Alla team som deltar i katastrofåterställningsövningarna utvecklar testplaner och dokumenterar resultaten och det de har lärt sig i efterhand.

Kryptering

Google skyddar data vid överföring och lagring med kryptering. Data som överförs till G Suite skyddas genom HTTPS, som aktiveras som standard för alla användare. G Suite- och Google Cloud Platform-tjänster krypterar kundinnehåll i vila utan att kunderna behöver vidta några åtgärder, med en eller flera krypteringsmekanismer. Detaljerad information om hur vi krypterar data finns i vår krypteringsdokumentation.

Åtkomstkontroller

Åtkomstbehörigheter och -nivåer baseras på de Google-anställdas tjänster och roller. Koncepten med lägsta behörighet och behovsbasis motsvarar de anställdas definierade ansvarsområden. Begäran om ytterligare åtkomst görs genom en formell process som omfattar begäran och godkännande från en data- eller systeminnehavare, chef eller andra inom ledningen, i enlighet med Googles säkerhetspolicyer.

Sårbarhetshantering

Vi söker efter sårbarheter i programvara med både kommersiellt tillgängliga hjälpmedel och egna verktyg som skapats för det här ändamålet, kraftfulla automatiska och manuella djupgående tester, kvalitetsprocesser, säkerhetsbedömningar av programvara och externa granskningar. Dessutom förlitar vi oss på säkerhetsbranschens forskning i stort och värdesätter hjälpen vi får därigenom med att identifiera sårbarheter i G Suite, Google Cloud Platform och andra produkter från Google. Vårt Vulnerability Reward Program (ett belöningsprogram för den som identifierar säkerhetsrisker) uppmuntrar forskare till att rapportera brister i design och implementering som kan innebära risker för kundens data.

Produktsäkerhet: G Suite

G Suite-kunder kan utnyttja produktfunktioner och -konfigurationer till att ytterligare skydda personlig data mot obehörig och olaglig behandling:

Mer information finns på https://gsuite.google.com/security

Produktsäkerhet: GCP

GCP-kunder kan utnyttja produktfunktioner och -konfigurationer till att ytterligare skydda personlig data mot obehörig och olaglig behandling:

Mer information finns på https://cloud.google.com/security/

Returnering och borttagning av data

Administratörer kan när som helst under avtalets löptid exportera kunddata via funktionerna i G Suite eller Google Cloud Platform-tjänsterna. Åtaganden för dataexport har ingått i våra villkor om databehandling i många år, och vi fortsätter med det efter att GDPR träder i kraft. Vi arbetar ständigt med att göra dataexportfunktionerna mer robusta i G Suite-tjänsterna och alla tjänster i Google Cloud Platform (mer information finns i Google Cloud Platform-dokumentationen).

Du kan också när som helst radera kunddata via funktionerna i G Suite eller Google Cloud Platform-tjänsterna. När Google mottar en instruktion från dig om att genomföra borttagning (t.ex. när ett e-postmeddelande som du har tagit bort inte kan återställas från skräpposten), tar Google bort relevant kunddata från alla system inom en period på upp till 180 dagar, såvida det inte finns några lagringskrav.

Stöd för dataansvariga

Den registrerades rättigheter

Dataansvariga kan använda funktionerna i de administrativa konsolerna och tjänsterna i G Suite och Google Cloud Platform för att få tillgång till, korrigera, begränsa bearbetningen av eller ta bort data som de eller deras användare har lagt in i våra system. Med de här funktionerna kan de uppfylla sina skyldigheter att besvara begäranden från de registrerade så att rättigheterna upprätthålls enligt GDPR.

Team för dataskydd

Våra G Suite- och Google Cloud Platform-kunder har ett särskilt team för förfrågningar om dataskydd.

Incidentavisering

Incidentavisering har enligt avtal ingått i G Suite och Google Cloud Platform i många år. Vi kommer även fortsättningsvis att informera dig om incidenter som berör din kunddata i enlighet med villkoren för dataincidenter i våra nuvarande avtal och de uppdaterade villkoren som gäller från och med den 25 maj 2018, när GDPR träder i kraft.

Internationella dataöverföringar

GDPR tillgodoser flera mekanismer för överföring av personliga uppgifter utanför EU. Syftet med de här mekanismerna är att upprätthålla en lämplig skyddsnivå eller säkerställa implementering av lämpliga skyddsåtgärder när personliga uppgifter överförs till ett tredje land.

Lämpliga skyddsåtgärder kan tillhandahållas genom modellavtalsklausuler. Rätt skyddsnivå kan bekräftas genom lämplighetsbeslut, till exempel de som stöder sekretesskyddet mellan EU och USA.

Enligt kraven i dataskyddsdirektivet är vi under våra nuvarande databearbetningsavtal skyldiga att tillhandahålla en mekanism för överföring av personliga uppgifter utanför EU, och vi kommer att erbjuda ett motsvarande åtagande från och med 25 maj 2018 när GDPR träder i kraft.

Googles certifiering enligt ramverken för sekretesskydd mellan EU och USA samt Schweiz och USA omfattar G Suite och Google Cloud Platform. Vi har även fått efterlevnadsgodkännande från europeiska dataskyddsmyndigheter för våra modellavtalsklausuler, vilket bekräftar att våra befintliga avtalsbindande åtaganden för G Suite och Google Cloud Platform uppfyller kraven i direktivet om dataskydd för lagenliga överföringar av personliga uppgifter från EU till övriga världen.

Standarder och certifieringar

Våra kunder och tillsynsmyndigheter förväntar sig oberoende verifiering av säkerhets-, sekretess- och efterlevnadskontroller. För G Suite och Google Cloud Platform genomförs regelbundet ett flertal granskningar av oberoende tredje part för att tillhandahålla denna försäkran.

  • ISO 27001 (hantering av informationssäkerhet)

    ISO 27001 är en av de mest internationellt erkända, oberoende säkerhetsstandarderna. Google har fått ISO 27001-certifiering för de system, program, personer, tekniker, processer och datacenter som utgör vår delade gemensamma infrastruktur samt för G Suite- och Google Cloud Platform-produkter.

  • ISO 27017 (molnsäkerhet)

    ISO 27017 är en internationell standard för kontroller för informationssäkerhet baserad på ISO/IEC 27002, särskilt för molntjänster. Google har certifierats enligt ISO 27017 för G Suite och Google Cloud Platform.

  • ISO 27018 (molnsäkerhet)

    ISO 27018 är en internationell standard för skydd av känsliga personliga uppgifter i offentliga molntjänster. Google har certifierats enligt ISO 27018 för G Suite och Google Cloud Platform.

  • SSAE16/ISAE 3402 (SOC 2/3)

    Granskningsramverken SOC 2 och SOC 3 (Service Organization Controls) från AICPA (American Institute of Certified Public Accountants) definierar förtroendeprinciper och kriterier för säkerhet, tillgänglighet, bearbetningsintegritet och sekretess. Google har både SOC 2- och SOC 3-rapporter för Google Cloud Platform och G Suite.

Vanliga frågor och svar

Vad är GDPR?
Allmänna dataskyddsförordningen är en ny dataskyddsförordning inom EU som ersätter Direktivet 95/46/EG om dataskydd från 24 oktober 1995.
När träder GDPR i kraft?
GDPR kommer att träda i kraft i alla EU-medlemsländer den 25 maj 2018.
Kräver GDPR att personlig data ska lagras inom EU?
Nej. Precis som i Direktivet 95/46/EG om dataskydd ingår det villkor i GDPR för överföring av personliga uppgifter utanför EU. De här villkoren kan uppfyllas med funktioner som modellavtalsklausuler.
Får kunderna rätt att granska Google Cloud enligt GDPR?
I enlighet med GDPR ska dataansvariga ha granskningsrättigheter i sina avtal med databearbetare. De uppdaterade databehandlingsavtalen som vi erbjuder från den 25 maj 2018, när GDPR träder i kraft, inkluderar därför granskningsrättigheter, något som gynnar våra kunder.
Vilken roll har de oberoende standarderna ISO 27001, ISO 27017, ISO 27018 och SOC 2/3-rapporterna när det handlar om efterlevnad enligt GDPR?
Kunderna kan dra nytta av våra oberoende ISO-certifieringar och SOC 2/3-granskningsrapporter till att genomföra riskbedömningar och avgöra om lämpliga tekniska och organisatoriska åtgärder har tillämpats.
Har Google tillhandahållit ytterligare information om GDPR?