Företag som använder molntjänster som Microsoft 365, Google eller Azure bryter med stor sannolikhet mot dataskyddsförordningen GDPR. Det är den svindlande men ofrånkomliga innebörden av Schrems II-domen.

Så vad behöver du göra rent konkret?

 

1.  Sätt dig in i det som gäller

Om du inte redan gjort det behöver du först och främst sätta dig in i vad Schrems II-domen och GDPR faktiskt innebär.

Tag reda på vilka lagkrav ditt företag behöver leva upp till.

Sätt dig in vilka handlingsalternativ som finns, och hur en teknisk lösning som kan efterleva GDPR kan se ut.

 

2.  Gör en nulägesanalys

Kartlägg alla tredjelandsöverföringar i din organisation. Sätt inte upp några nya innan detta är klart.

Gör en bedömning av vilken säkerhet som faktiskt krävs för de olika typerna av data ni behandlar. Vad är personuppgifter och vilken annan information finns? Schrems II och GDPR gäller ju bara för personuppgifter.

Hur lever er nuvarande tekniska lösning upp till GDPR:s krav på informationssäkerhet, det vill säga hur ni skyddar era personuppgifter?

En säkerhetsåtgärd är kryptering. Vilken algoritm ska användas? Hur ska krypteringsnycklarna implementeras och skyddas (operationell säkerhet)? Behöver systemet självt kunna förhindra säkerhetsincidenter (teknisk säkerhet)?

 

3.  Vidta snabba åtgärder som minskar risken

Avveckla applikationer som uppenbart bryter mot GDPR och som enkelt kan ersättas så fort det är möjligt. Schrems organisation Noyb har lämnat klagomål mot 101 företag som de anser bryter mot Schrems II-domen genom att använda Google Analytics. Vem som helst kan till exempel ta reda på om er webbplats använder tjänsten på någon minut. Men det finns välfungerade alternativ, till exempel  Matomo.

 

schrems-II-handlingsplan

 

4.  Gör en handlingsplan

Handlingsplanen visar vad som ska göras för att minimera brister i dataskyddet i din organisation. Prioritera åtgärderna genom att göra en avvägning mellan risker och resurser.

Om ni ska börja använda molntjänster och lagra personuppgifter i molnet, se till att de levereras av ett företag som uppfyller kraven på dataskydd. Det betyder att det inte bör vara amerikanskt men måste lyda under lagstiftning i ett ”GDPR-godkänt” land som Sverige, eller något annat land inom EU/EES-området. Läs mer om en GDPR- och Schrems II-säker lösning här (länk till artikel 4).

Vid behov, gör också en dokumenterad avvecklingsplan för riskabel personuppgiftsbehandling. Förutom att vara ett viktigt internt styrdokument, är den ett bevis på god vilja och ”självsanering” om IMY eller en annan tillsynsmyndighet skulle göra en inspektion.

 

5.  Följ utvecklingen

Det händer mycket på dataskyddsområdet och ibland går det snabbt. Företag granskas och domarna faller. Regelbunden omvärldsbevakning rekommenderas starkt. Följ rättsläget på Integritetsskyddsmyndighetens hemsida IMY.se och GDPR.se.

Kunddatahantering kan te sig som en djungel av regelverk, myndigheter och aktörer, och det gäller att välja väg med omsorg.

För att klara EU:s krav på dataskydd trots Schrems II-domen, krävs både teknisk och juridisk säkerhet. Vi hjälper dig gärna att ta fram en Content Management-lösning som uppfyller båda kraven.

 

Johan Ekberg

CEO, Apendo

Ladda ned vår guide om dataskydd efter Schrems II-domen.

Källor:

IMY

IAPP

IBM