Sedan Schrems II-domen 16 juli 2020 är det i de flesta fall inte längre tillåtet för en svensk organisation att lagra personuppgifter hos företag som lyder under amerikansk lag. Det har skakat om företag och myndigheter som använder Microsofts, Googles och andra techjättars plattformar, eftersom de riskerar att bryta mot dataskyddsförordningen, GDPR.
Men finns faktiskt en Schrems II-säker Content Management-lösning.
Den svenska modellen är modellen
Vår artikel Alternativa lösningar för att klara dataskyddet kom fram till att det avgörande var att personuppgifterna lagras på en plattform som ägs av ett företag baserat i ett land som uppfyller GDPR:s krav. Med andra ord, att landet står med på listan över länder med ”adekvat skyddsnivå”, där vi förutom EU/EES-länderna hittar Storbritannien, Sydkorea, Japan och några till. Dessa företag lyder inte under någon lag som säger att en myndighet ska kunna få tillgång till personuppgifter om utländska medborgare, eller på annat sätt står i konflikt med GDPR.
Ett svenskt företag som lagrar personuppgifter på egna servrar och system i Sverige regleras alltså av svensk lag och kan därmed leva upp till kraven som ställs i GDPR.
Detta kan vara en lokal så kallad on-prem-lösning (som använder ett datacenter på ditt företag), en molnlösning eller en hybridlösning.
Det viktiga är att servern finns inom EU och ägs av ett europeiskt bolag.
GDPR-efterlevnaden förutsätter dock fortfarande en informationssäkerhet som lever upp till dataskyddsförordningen krav, så att personuppgifter inte hamnar på avvägar eller används på fel sätt.
En säker lösning
För att leva upp till kraven behöver lösningen kunna hantera personuppgifter på ett sätt som skyddar personlig integritet och följer GDPR. Detta är inte minst viktigt om du tillhör en bank eller ett försäkringsbolag.
Vad ska du då ställa för tekniska krav, om vi utgår från att du väljer en lokal lösning i Sverige?
Säkerställ att dina personuppgifter hanteras på en server inom EU
Personuppgifter bör inte lagras på amerikanska molntjänster, som Microsofts tjänstebaserade plattformar där kontrollen av personuppgifter inte kan garanteras.
Du kan fortfarande använda Word eller andra Office-applikationer, men lagringen av data bör ske lokalt eller på ett sätt där du har kontroll över var den lagras. Försäkra dig också om att din data hanteras av en robust plattform, med stor kundbas och den senaste teknologin.
Med denna lösning har du lagt grunden för ett lagenligt dataskydd.
Sätt upp regler som säkerställer GDPR-efterlevnad
I ditt Content Management-system ska du kunna sätta upp regler för hur olika processer ska gå till för att följa GDPR:s regler för hur personuppgifter får behandlas. Reglerna aktiveras av yttre händelser, till exempel en signal från CRM-systemet om att vissa personuppgifter ska uppdateras eller att ett kundärende påbörjas.
Ett Content Management-system hanterar många innehållstyper varav de flesta är personuppgifter, och dessa omfattas av dataskyddsförordningen.
Det kan till exempel vara:
- Förnyelse-, löne- och autogirorapporter
- Skadehandlingar
- Bilder och filmer
- Avtal i olika versioner
- Ansökningar
Dessutom är det ofta effektivt om medarbetare på ett säkert sätt kan samverka kring dokument i olika grupper.
Hantera information om kunderna enligt GDPR
Ett svenskt företag – säg en bank eller ett försäkringsbolag – är skyldigt att tillgodose de rättigheter GDPR ger sina kunder. Det innebär bland annat att:
- Informationen om dem ska vara korrekt och uppdaterad.
- Om en kund begär att få se all information om henne, bör systemet ha rapportverktyg som kan tillgodose denna förfrågan.
- Om en kund ringer och begär att alla uppgifter om honom eller henne ska tas bort, måste begäran hanteras inom 30 dagar i normalfallet.
Undvik email
Om kundkommunikationen sker via e-post finns det stor risk att känslig information i brevet eller bilagorna sprids till obehöriga. Undvik att skicka dokument via e-post. Skicka istället en länk till en webbsida där kunden kan ladda ned – eller upp – dokument som på så vis aldrig behöver hamna på mottagarens mailserver. Ett säkrare flöde skulle kunna vara att kunden fyller i ett anmälningsformulär på webbplatsen, får ett e-post som bekräftar anmälan och ber kunden komplettera genom att ladda upp kvitton, läkarintyg eller liknande via en länk till hemsidan.
Data om icke-kunder måste raderas
En grundprincip enligt GDPR är att du inte får behålla personuppgifter längre än vad som är nödvändigt. Det innebär till exempel att personuppgifter om någon inte längre är kund eller medlem ska raderas efter en viss tid. Det gäller också om någon ansökt om att bli medlem utan att ha blivit det efter en viss tid. Tidsperioden beror på vad uppgifterna skulle ha använts till.
Detta är det många som inte har koll på. Om personuppgifterna ligger på en e-postserver någonstans finns det risk för att de aldrig kommer att raderas.
Rollbaserade behörigheter till kunddata
Anställda kan sluta eller byta jobb. Någon i kundtjänsten kan bli sjuk. Om det händer ska en kollega kunna gå in och se det senaste som gjordes, vem som gjorde det och hitta de senaste dokumentversionerna. Därför är det viktigt att systemets behörighetshantering stöder rollbaserade behörigheter, så att hanteringen av kundärenden och kunddata inte blir personberoende.
Säker tillgång från dator, mobil och hemsida
Om dina medarbetare arbetar hemifrån eller via mobilen behöver de komma åt samma verktyg och samma kunddata som om de satt vid en dator på kontoret. Framför allt ska datan lagras på samma, säkra ställe. Den bästa lösningen gör det säkert att söka, se, dela och samarbeta kring kunddata oavsett var de arbetar.
Plattformen ska också klara att låta kunder hantera sin kunddata på en webbplats utan att dataskyddet sätts på spel.
Ta hjälp av någon med rätt erfarenhet
Många av våra kunder finns i finans- och försäkringsbranschen och bland stora myndigheter där det förekommer känsliga personuppgifter. För dem är det extremt viktigt att bibehålla kundernas personliga integritet och säkerställa en hög nivå av dataskydd.
Många av dem har lokala lösningar ”on-prem”, men vår Content as a Service (CaaS) lösning är förberedd för migrering till en säker molntjänst eller en hybridlösning. I molnlösningen lagras och behandlas alla personuppgifter i Sverige i vårt datalager på en svenskägd server. Det gör den till en GDPR-säker investering.
Vill du veta mer om hur vi hjälpa dig säkra din kunddata är du välkommen att höra av dig till oss på caas@apendo.se.
Johan Ekberg
CEO, Apendo