Att hantera personuppgifter är inte det enklaste idag. För konsumenter innebär de nya lagarna och förordningarna ett stärkt skydd och ökad kontroll, men för företag som hanterar mycket persondata blir det en snårskog.
I grunden finner vi dataskyddsförordningen GDPR, som klubbades igenom i maj 2018. Den är ett sätt för EU att garantera alla medborgare likvärdigt dataskydd i hela unionen. Det betyder att personuppgifter får flöda fritt mellan dessa länder.
”GDPR är i grunden något mycket positivt,” säger Johan Boger på Glesys. ”Varje medborgare i EU har numera äganderätt över sina personuppgifter och har rätt att när som helst få se vilken data som finns lagrad om dem. Det innebär att företagen förvaltar dina uppgifter – de äger dem inte.”
Datadjungeln tätnar
Så långt inga större problem. Men när europeiska företag skulle föra över personuppgifter till amerikanska bolag uppstod en utmaning – hur skulle man kunna garantera ett likvärdigt skydd i USA? In kom Privacy Shield, en överenskommelse mellan EU och USA, om att amerikanska bolag kunde utfärda en självcertifiering som EU ansåg likvärdig GDPR. Tack vare detta kunde europeiska företag föra över data och vara trygga i att personuppgifter fick samma skydd i USA som de fick i EU.
Näst på tur kom Cloud Act, en lag som gav amerikanska myndigheter rätt att i vissa fall hämta ut data från amerikanskägda servrar. Kruxet? Det gällde även om servern befann sig i ett datacenter utanför USA:s landsgränser.
Men det tar inte slut där. Så småningom kom Schrems II-målet, döpt efter den österrikiske internetaktivisten Maximilian Schrems. Han stämde en av de amerikanska techjättarna eftersom han menade att Cloud Act och Privacy Shield inte var förenliga.
Fördel svensk hosting
I juli 2020 kom EU-domstolens beslut i Schrems II-målet: Privacy Shield är inte längre giltigt som säkerhetsgaranti vid överföring av persondata mellan EU och USA.
”Det innebär att du idag måste göra en ny bedömning vid varje överföring av personuppgifter till USA – där du tidigare kunnat luta dig mot Privacy Shield. Det pågår redan flera tillsynsärenden i frågan.”
Ifall ett svenskt företag har EU-medborgares persondata lagrad hos ett amerikanskt hostingbolag, även om lagringen sker på svensk mark, kan det alltså bryta mot de nya reglerna. Hos Glesys ser man nu en våg av nya kunder som vill ta hem sin data till Sverige – bland annat flera regioner och medtech-bolag, som hanterar stora mängder känslig patientdata.
”Vi har sett en ökad medvetandegrad under det senaste halvåret, men det finns fortfarande många företag och myndigheter som inte hunnit eller haft möjligheten att ta tag i den här problematiken.”
Stora förändringar tar förstås tid och kostar pengar. Johan Boger poängterar att det finns möjligheter även i denna märkliga situation.
“Det första steget för företag är att se över var datan lagras och hos vem. Att ta hem din data till en svensk hostingleverantör ger dig full kontroll. Det har dessutom fler positiva bieffekter. Du får möjligheten till lokal support och en nära relation med leverantören, något som är särskilt viktigt när företag hanterar känslig data.”