Känslig information i molntjänster: Vad säger regelverken?

Att dela information och personuppgifter, både internt och med personer utanför organisationen, kan många gånger kännas utmanande och vara förenat med risker. Fokus på hur företag hanterar persondata har ökat avsevärt, inte minst sedan pandemin bröt ut och den digitalisering som följde med ökat distansarbete. Det finns en rad regelverk att förhålla sig till, och frågan hur företag inom EU ska förhålla sig till amerikanska molntjänster och kommunikationsplattformar för att följa GDPR har diskuterats åtskilligt.  

I mitten 2020 kom Schrems II-domen som rörde överföringar av personuppgifter. Domen ogiltigförklarade dataskyddsavtalet Privacy Shield, som innan dess hade möjliggjort att flytta data mellan EU och USA. I stället blev det i och med domen olagligt att dela personuppgifter med länder utanför EU/EES.

Vad innebär det för företagen?

Att använda molntjänster som ägs av ett land utanför EU/EES kan innebära att företaget bryter mot GDPR, då integritet inte kan garanteras. Även om servrarna ligger i ett land inom EU finns det en risk att det landets lagar kräver tillgång till informationen. Det innebär att myndigheterna i dessa länder kan ha rätt att begära ut känsliga uppgifter oavsett vem som är ägare till den. Därmed finns en risk att informationen delas med tredje land och att känsliga uppgifter läcker, vilket bryter mot GDPR. Att bryta mot GDPR kan leda till höga böter, kostsamma rättsprocesser och ett skadat förtroende.

Vad ska man tänka på för att följa GDPR?

Vid användning av svenska molntjänster, det vill säga där leverantör, fysisk lagring och där alla eventuella underleverantörer är baserade i Sverige och följer svensk lagstiftning, tillämpas svensk jurisdiktion.

Vill du veta hur ditt företag kan kommunicera digitalt på ett tryggt och säkert sätt? Läs mer om Compodiums säkra kommunikationslösningar.