Dropbox Business og GDPR compliance
Databehandleraftale

GDPR kræver, at der er indgået en databehandleraftale, når en virksomhed behandler personoplysninger på den dataansvarliges vegne. Dette er naturligvis tilfældet, når en virksomhed vælger at lagre filer (med persondata) i Dropbox Business’ cloud.

Sådan opfylder Dropbox Business GDPR-lovgivningen til databehandlere 
Dropbox Business opfylder kravene til fulde på flere måder: fx via deres administratorstyring af konti, deres generelle vilkår og mere specifikt den indbyggede databehandleraftale under punkt 13: definitioner ”EU’s standardkontraktbestemmelser”, som de indgår med alle Dropbox Business kunder.

Bemærk, Dropbox i gratisversion og andre private cloud-storage systemeropfylder ikke disse krav til databehandleraftale!

Overførsel og opbevaring af data uden for EU

GDPR kræver at en virksomhed, der overfører personfølsomme data skal hostes inden for EU’s grænser eller at det land eller organisation uden for EU, som er involveret i hosting eller håndtering af data, er certificeret med en ”Privacy Shield” aftale eller en anden EU-godkendt aftale. Det omhandler GDPR artikel 5 og mere specifikt artikel 46.2.F.

Der skal desuden være indgået en databehandleraftale med leverandøren/databehandleren.

Sådan opfylder Dropbox Business GDPR-lovgivningen til opbevaring af data uden for EU
Dropbox Business opfylder kravene til opbevaring af data uden for EU med deres ”EU og USA Privacy Shield” godkendelse, som du kan se her.

4 Dropbox-garantier for datasikkerhed og compliance

ISO 27001/2

International standard som dækker Dropbox’ system til styring af informations-sikkerhed, herunder etablering, implementering, drift, overvågning, revision, vedligeholdelse og forbedringer.

Se ISO 27001 certifikat >

ISO 27018/17

Cloudbaseret sikkerhed og udvidelse til ISO 27001 med internationale standarder for clouddata og privatliv. Dette certifikat omfatter sikkerhedskontroller til personoplysninger, hvor Dropbox er databehandler.

Se ISO 27018 certifikat >

SOC 1, 2 og 3

SOC (Service Organization Control) giver indsigt i Dropbox’ 5 principper: sikkerhed, tilgængelighed, integritet, fortrolighed og beskyttelse af personlige oplysninger. SOC 3 er det højeste niveau et datacenter kan modtage.

Se SOC 3 rapport >

Er vi så helt GDPR-klar ved at skifte til Dropbox Business?

Gid det var så let. Desværre kan ingen udbyder – heller ikke Dropbox – løse opgaverne forbundet med at blive klar til den nye persondatalov. Det kræver indsats, processer og prioritering i din virksomhed.

Det er vigtigt, at din GDPR-handlingsplan dækker disse områder: 

  • Roller og ansvar som dataansvarlig og databehandler
  • Placering af data – i Danmark, i EU, eller udenfor EU?
  • Samtykkekrav, dokumentation og oplysningsforpligtelse
  • Kundernes ret til “at blive glemt”
  • Underretningspligt og processer ved eventuelt databrud
  • Compliance der dokumenterer, at I overholder persondataforordningen

Dropbox Business hjælper jer godt på vej med at dokumentere og efterleve flere af disse kritiske punkter.

Nu har Tacaly indgået en aftale med Dropbox. Få en aftale med os, så er du i sikre hænder