Problemet du ikke vidste du havde
Hvis din virksomhed sender fakturaer, ordrer, følgesedler eller ethvert dokument med kundedata gennem en konventionel beskedapp, passerer de data gennem servere, der sandsynligvis ikke er i Europa. Eller hvis de er, tilhører de en virksomhed underlagt udenlandsk lovgivning. GDPR har noget at sige om det.
Europæiske databeskyttelsesregler kræver, at du ved, hvor dine data er, hvem der har adgang til dem, og under hvilken jurisdiktion. Når du bruger en beskedapp med en central server, passerer dine dokumenter gennem infrastruktur, du ikke kontrollerer. Dine kunders data lagres — selv midlertidigt — på maskiner, der tilhører en anden virksomhed, i et andet land, under andre love.
Hvad der ændrer sig, når der ikke er nogen server
I en peer-to-peer-kommunikation går data direkte fra afsenderens enhed til modtagerens. De passerer ikke gennem nogen mellemliggende server. De lagres ikke på nogen tredjepartsinfrastruktur. Dokumentet forlader din computer i Lugo og ankommer til din kundes computer i Barcelona. Eller Berlin. Eller Lissabon. Men det passerer aldrig gennem Silicon Valley.
Dette er ikke en uvæsentlig teknisk detalje. Her opnås GDPR-overholdelse ikke gennem indsats og god vilje. Det opnås, fordi arkitekturen gør det umuligt at overtræde. Der er ingen international dataoverførsel, fordi der ikke er nogen overførsel til nogen tredjepart. Dataene er på din enhed og din modparts. Ingen andre steder.
Hvem det er vigtigt for
Hvis du er advokat og sender en kontrakt til en klient via beskeder, passerer kontraktens data gennem en server. Hvis du er skatterådgiver og deler en selvangivelse, passerer de data gennem en server. Hvis du er læge og sender en rapport til en patient, passerer sundhedsdata gennem en server. I alle disse tilfælde delegerer du opbevaringen af fortrolige oplysninger til en virksomhed, du ikke har valgt og ikke kontrollerer.
Det er ikke fordi du gør noget forkert med vilje. Det er fordi værktøjet du bruger ikke giver dig nogen anden mulighed. Den eneste måde, dine professionelle data ikke passerer gennem tredjepartsservere, er at kommunikationen er direkte. Ingen mellemmænd. Fra din skærm til deres.
Automatisk overholdelse
Med P2P-kommunikation behøver du ikke auditere, hvor din beskedudbyders servere er. Du behøver ikke verificere overholdelse af Privacy Shield eller EU's standardkontraktbestemmelser. Du behøver ikke tilføje en klausul i din privatlivspolitik, der forklarer, at dine data 'kan behandles uden for Det Europæiske Økonomiske Samarbejdsområde'. Intet af det gælder, fordi ingen tredjepart behandler dine data.
Overholdelse afhænger ikke af nogens gode vilje. Det afhænger ikke af en databehandlingsaftale med en udbyder. Det afhænger ikke af, at en amerikansk virksomhed opretholder sit engagement i europæisk lovgivning. Det afhænger af arkitekturen. Og arkitektur er verificerbar, uforanderlig og skifter ikke mening.
Spørgsmålet til din næste revision
Næste gang nogen spørger dig, hvor dine kunders data er, er det bedst mulige svar: 'På min enhed og på deres. Ingen andre steder.' Ingen hundredesiders rapport nødvendig. Ingen DPO der gennemgår leverandørkontrakter. Dine kunders databeskyttelse er garanteret ved design, ikke ved løfter.