Er Dropbox sikker?

Af Sascha Hegner Specht

Det er muligt at være GDPR compliant og bruge dropbox til personoplysninger, men man bør have klare retningslinjer beskrevet for brug af dropbox. Og så har sikkerhed en pris hos Dropbox.

Fildeling med stor risiko

Dropbox er et meget udbredt værkstøj til fildeling. Det er nemt at dele data, da det er et almindelig værktøj mange allerede er bekendt med og det er gratis at oprette sig som bruger. Det vil sige at det er super nemt at dele data, også med folk udenfor organisationen.

Det kan der være praktiske fordele i, men i forhold til sikkerheden, så udgør det også en stor risiko.

Jo flere man deler filer og dokumenter med, jo større er risikoen også for at filerne kommer i uvedkommendes hænder eller på anden måde bliver kompromitteret. Det er især denne risiko man bør være opmærksom på i forhold til GDPR. Umiddelbart er det primært relevant med filer der indeholder persondata, men det indeholder rigtig meget af vores data – uden at vi nødvendigvis tænker over det. Men det er også relevant i forhold til generel sikkerhed af organisationens data.

Fildeling kan foregå sådan at du deler en mappe med en anden dropbox-bruger, som så har lige rettigheder til mappen; kan uploade og downloade og ændre i filerne på lige fod med andre der har adgang til mappen. Det betyder også at der er større risiko for data-tab eller kompromittering af data.

Forskel på muligheder

Dropbox tilbyder forskellige pakkeløsninger, og jo større en pakke du har, jo flere muligheder har du for at styre sikkerheden af dine filer.
Har du en Dropbox Professionel eller er Dropbox businesskunde, så kan du f.eks. styre om mapper og filer må deles eksternt, altså med brugere udenfor organisationen.

Prisforskellen på en Dropbox Plus (som ikke kan) og en Dropbox Professionel (som kan) er ca. 600kr/år/bruger (ved årlig afregning).

Overførsel til tredjeland

En af de store udfordringer i forhold til compliance med Dropbox, er at deres servere primært er lokaliseret i tredjelande. Det er muligt at vælge servere lokaliseret i sikre lande, men det kræver at man har mindst 250 brugerlicenser, altså er det kun store virksomheder der tilbydes denne mulighed.  

Dog lægger Dropbox vægt på, at de persondata som brugerne ”overlader” til Dropbox bliver sikret på lige fod, uanset om de ligger i EU eller i USA. I skal blot huske at angive at I overfører til tredjeland i jeres behandlingsfortegnelse og lave en risikoanalyse for konsekvenserne.

Beskriv retningslinjerne og behandlingen

Som tommelfingerregel bør du ikke dele organisations-dokumenter med brugere udenfor organisationen. Ansatte vil være underlagt de retningslinjer for sikkerheden I har beskrevet i jeres personalehåndbog og/eller IT-vejledninger. Det vil personer udenfor organisationen ikke.
Bemærk at databehandlere er underlagt retningslinjer for sikkerheden i jeres databehandleraftaler. 

Er det alligevel nødvendigt at dele mapper og filer med folk udenfor organisationen, så sørg for at I har orienteret vedkommende om, hvilke retningslinjer I har for sikkerheden. I skal bare være klar over at der ingen garanti er for overholdelsen af dem, og at I ingen beføjelser har overfor brugeren I deler filerne med.

Tænk også over hvilke oplysninger I deler. Er det personfølsomme eller fortrolige oplysninger I deler og med hvilket formål. Tænk også over hvilke konsekvenser det vil have for de registrerede, hvis oplysningerne kommer i uvedkommendes hænder.
Og sørg for at det hele er nedskrevet i jeres behandlingsfortegnelse (link til artikel).

Ryd op i brugerne og deres rettigheder

Sørg for at de mapper I har delt med andre, ikke længere har adgang til mappen når samarbejdet er ophørt. Når du fjerner brugeren, så sørg for at at der er flueben i feltet ”lad X beholde en kopi…”, så filerne også bliver fjernet fra brugerens synkroniserede enheder.

Når du deler en mappe, så overvej hvilke rettigheder vedkommende du deler mappen med skal have. Det kan være enten “se-adgang” eller “redaktør”.
Overvej også om det er nødvendigt at dele selve mappen med brugeren, eller om et link til mappen eller dokumentet er nok. Typisk vil en bruger have synkroniseret sin dropbox lokalt på sin computer. Den delte mappe, og indholdet af den, vil derfor være downloadet på vedkommendes computer.
Hvis man deler et link til mappen eller dokumentet – og ikke selve mappen – så vil brugeren kunne se indholdet, men skal aktivt downloade filen/filerne til sin computer for at have dem liggende og vil ikke kunne redigere i det online. Man kan også sætte en adgangskode på linket til filen, hvis man ønsker ekstra beskyttelse af indholdet (kun i opgraderede brugerprofiler).
I businessprofilerne kan man desuden styre hvilke mapper der skal kunnes deles eksternt og hvilke der kun skal kunne deles med medlemmer af “teamet”.

Deling af et link, fremfor selve mappen, kan minimere risikoen for datatab eller kompromittering, men kan ikke nødvendigvis forhindre data i at blive delt med uvedkommende. Men dét, at data ikke automatisk bliver synkroniseret med brugerens enheder, kan nedsætte risikoen for unødig deling.

Databehandleraftale med dropbox

Bruger I dropbox til behandling af persondata (f.eks. kontrakter, billeder etc.), så skal I have en databehandleraftale med dropbox.

Dropbox vil dog kun indgå en databehandleraftale for Businesskunder. Mindste pakke for businesskunder koster min. ca. 3.000 kr/år (for 3 brugere).

Sletning af filer på Dropbox

Når du sletter filer på dropbox, så opbevares de i en rum tid i en ”skraldespand”. Det vil sige at slettet data kan genskabes indenfor en periode.

Perioden, hvor du kan genskabe slettede filer, er afhængig af hvilket abonnement du har:
Dropbox Basic og de fleste Dropbox Plus brugere har 30 dage
Dropbox Plus der har tilkøbt muligheden, kan have op til 1 år.
Dropbox Professional brugere har 180 dage
Dropbox Business brugere har 120 dage

Husk at beskrive opbevaringen af slettede filer i din behandlingsfortegnelse.

Kilder og links