Et problem, som næsten ingen ser
En advokat modtager et følsomt dokument fra sin klient. En læge drøfter en diagnose med en kollega. En psykolog koordinerer behandlingen med en psykiater. En skatterådgiver sender oplysninger fra en selvangivelse. Alle gør det via beskeder. Og næsten ingen har tænkt over, hvor de beskeder ender.
Svaret er i de fleste tilfælde: på en server, de ikke kontrollerer, i et land, hvis lovgivning de ikke kender, administreret af en virksomhed, hvis forretningsmodel netop er at akkumulere data. Beskeden kan være krypteret under overførsel, men når den når serveren, er den en gemt kopi i en tredjeparts infrastruktur.
Hvad siger loven
EU's GDPR er klar: den, der håndterer tredjepersoners persondata, er ansvarlig for at beskytte dem med passende tekniske foranstaltninger. God vilje er ikke nok. Det er ikke nok, at appen siger, den krypterer. Hvis din klients data er på en server, der ikke overholder europæiske standarder, er du den ansvarlige.
Og det handler ikke kun om GDPR. Tavshedspligten — reguleret for advokater, læger, psykologer, revisorer og mange andre — kræver, at kommunikationen med klienten er fortrolig. Ikke fortrolig "så vidt muligt". Virkelig fortrolig. Hvis den kanal, du bruger, ikke kan garantere det teknisk, påtager du dig en risiko, du ikke burde.
Hvad har en fagperson brug for?
Det, en fagperson, der håndterer følsomme oplysninger, har brug for, er overraskende simpelt. En kanal, hvor beskederne går direkte fra vedkommendes enhed til modtagerens, uden at gå gennem nogen mellemliggende server. Uden kopi i skyen. Uden at skulle give et personligt telefonnummer. Og med en infrastruktur, der fuldt ud overholder europæisk lovgivning.
Der er ikke brug for en kompliceret app. Ikke brug for undervisning. Ikke brug for at ændre arbejdsgang. Der er brug for præcis det, der allerede bruges — instant messaging — men med den tekniske garanti for, at informationen ikke forlader de to enheders rammer.
Forskellen mellem at kryptere og ikke at gemme
At kryptere en besked og gemme den på en server er som at lægge et dokument i en boks og efterlade den i en fremmeds hjem. Boksen er god, ja. Men dokumentet er stadig i en andens hjem. Og den anden kan modtage en retskendelse, kan blive hacket eller kan simpelthen ændre sine servicevilkår.
Alternativet er, at dokumentet aldrig forlader dit kontor. At det går direkte fra dit skrivebord til din klients skrivebord, uden nogen mellemmand. Det er præcis, hvad direkte kommunikation mellem enheder gør: den fjerner mellemmanden. Ikke fordi mellemmanden er dårlig. Men fordi mellemmanden er unødvendig. Og det unødvendige er i sikkerhed altid en risiko.
Et spørgsmål om ansvar
I sidste ende er spørgsmålet, enhver fagperson bør stille sig selv: hvis en samtale med min klient lækker i morgen, kan jeg så bevise, at jeg brugte en teknisk sikker kanal? Kan jeg bevise, at data aldrig forlod vores enheder? Kan jeg bevise, at jeg ikke stolede på god vilje fra en virksomhed på et andet kontinent?
Det værktøj, du vælger til at kommunikere med dine klienter, siger meget om, hvordan du værdsætter deres tillid. Og der findes værktøjer designet præcis til det: så tilliden ikke afhænger af løfter, men af arkitekturen.