Kundedata, logger og arbeidsfiler kan virke trygge i skyen, men det avgjørende spørsmålet er hvem som faktisk har kontroll over dem. Når dataene dine ligger på norsk hosting, under norsk lov og GDPR, er rammene tydeligere fra første dag.
Med en VPS eller annen hosting hos Webhuset kan du samle viktige tjenester på infrastruktur i Norge, i stedet for å spre dataene dine på tvers av leverandører, land og uklare vilkår.
Hva du trenger
Før du vurderer en leverandør, bør du ha oversikt over:
- hvilke data du lagrer
- hvor dataene brukes
- hvem som har tilgang
- hvilke leverandører og underleverandører som er involvert
- hva som står i databehandleravtalen
- hvilke logger, sikkerhetskopier og supportdata som opprettes
Dette handler ikke bare om databasen din. Logger, opplastede filer, e-post, sikkerhetskopier og feilmeldinger kan også inneholde personopplysninger eller forretningskritisk informasjon.
Trinn 1: Finn ut hvor dataene lagres fysisk
Start med det mest konkrete: hvor ligger dataene dine?
Mange tjenester sier at de har «europeisk hosting» eller «regioner i EU». Det er bedre enn ingenting, men det er ikke alltid presist nok. Spør heller:
- Ligger primærdataene i Norge?
- Ligger sikkerhetskopiene samme sted?
- Flyttes logger eller analysedata til andre land?
- Brukes det eksterne tjenester for overvåking, support eller feilsøking?
Et praktisk grep er å lage en enkel oversikt:
Tjeneste: Kundesystem
Data: kunder, avtaler, fakturaer
Primærlagring: ?
Backup: ?
Logger: ?
Leverandørtilgang: ?
Jurisdiksjon: ?Hvis du ikke klarer å fylle ut feltene, har du ikke egentlig kontroll ennå.
Trinn 2: Sjekk hvilken jurisdiksjon som gjelder
Fysisk plassering er viktig, men juridisk kontroll er minst like viktig.
Data kan ligge i Europa, samtidig som leverandøren er underlagt lover i et annet land. Det kan påvirke hvem som kan kreve tilgang, hvilke regler som gjelder ved tvister, og hvor enkelt det er å dokumentere etterlevelse overfor kunder og samarbeidspartnere.
Se etter klare svar på:
- hvilket lands lovgivning avtalen er underlagt
- hvem som er databehandler
- hvilke underleverandører som brukes
- om data kan overføres utenfor Norge eller EU/EØS
- hvordan forespørsler fra myndigheter håndteres
For norske virksomheter er dette ofte enklest når dataene ligger i Norge og leverandøren er norsk. Da er det norsk lov og GDPR som setter rammene.
Trinn 3: Vurder hvem som kan få tilgang
Tilgang handler ikke bare om passordet ditt. Leverandører kan ha teknisk tilgang gjennom drift, support, sikkerhetskopiering eller feilretting.
Gå gjennom disse spørsmålene:
- Hvem hos leverandøren kan få administrativ tilgang?
- Logges supporttilgang?
- Kan du begrense tilgangen selv?
- Krypteres data i ro og under overføring?
- Finnes det rutiner for sletting når du avslutter tjenesten?
For tjenester du drifter selv på en VPS, får du mer direkte kontroll. Du bestemmer hvilke programmer som kjører, hvilke porter som er åpne, hvor sikkerhetskopier går, og hvem som får tilgang til serveren.
Anbefalinger
Velg norsk hosting når dataene er sensitive, forretningskritiske eller vanskelige å flytte senere. Det gjelder særlig kundedata, e-post, interne dokumenter, passordhvelv, medlemsregistre og systemer som lager detaljerte logger.
Du trenger ikke gjøre alt komplisert. Start med én kritisk tjeneste, kartlegg hvor dataene faktisk bor, og flytt den til en løsning der plassering, tilgang og jurisdiksjon er tydelig dokumentert.
Når dataene dine ligger på norsk infrastruktur, under norsk lov og GDPR, har du et enklere utgangspunkt: færre uklare ledd, tydeligere ansvar og mer kontroll over det som faktisk tilhører deg.