Guider

GDPR-checklista för molnval: 10 frågor till din leverantör

Innan du lägger personuppgifter i ett moln, ställ dessa tio frågor. Svaren avslöjar snabbt om en leverantör verkligen står för GDPR eller bara säger det.

GDPR-efterlevnad avgörs inte av en logga på en sida — den avgörs av strukturen bakom. Här är tio frågor att ställa en molnleverantör innan personuppgifter flyttar in. Svaren skiljer snabbt de förberedda från de förhoppningsfulla.

Jurisdiktion och ägande

  • Under vilken jurisdiktion står bolaget — och hela ägarkedjan?
  • Finns det ett moderbolag utanför EU som kan omfattas av CLOUD Act eller liknande?
  • Äger leverantören hårdvaran, eller hyrs kapaciteten på tredje parts stack?

Data, nycklar och biträden

  • Finns ett personuppgiftsbiträdesavtal, och vad står det om underbiträden?
  • Var förvaras krypteringsnycklarna, och kan någon utanför EU nå dem?
  • Vilka subprocessorer används, och i vilka länder sitter de?
  • Sker någon överföring till tredjeland — och i så fall på vilken grund?

Rättigheter och exit

  • Hur stöds radering och registerutdrag i praktiken?
  • Kan du exportera all data — och hela uppsättningen som kod — utan straffavgift?
  • Kan leverantören visa residens och åtkomst i produkten, inte bara påstå det?

Om ett svar tar formen av “lita på oss” istället för “här är beviset”, notera det.

— ur Keplers trust-modell

Kepler är byggt för att kunna svara ja med bevis på var och en av dessa. Vill du testa oss mot din egen lista? Hör av dig.

Bygg på ett moln du faktiskt äger.

Ingen bindningstid. En körande VM innan du betalar en krona.