Et problem som nesten ingen ser
En advokat mottar et sensitivt dokument fra sin klient. En lege diskuterer en diagnose med en kollega. En psykolog koordinerer en pasients behandling med en psykiater. En skatterådgiver sender dataene til en selvangivelse. Alle gjør det via meldinger. Og nesten ingen har stoppet opp for å tenke på hvor de meldingene havner.
Svaret er i de fleste tilfeller: på en server de ikke kontrollerer, i et land hvis lovgivning de ikke kjenner, under ledelse av et selskap hvis forretningsmodell er nettopp å akkumulere data. Meldingen kan være kryptert i transitt, men så snart den når serveren, er den en kopi lagret i tredjeparts infrastruktur.
Hva loven sier
Europeisk GDPR er klar: Enhver som håndterer personopplysninger til tredjeparter, er ansvarlig for å beskytte dem med adekvate tekniske tiltak. God vilje er ikke nok. At appen sier den krypterer, er ikke nok. Hvis din klients data er på en server som ikke overholder europeiske regler, er du den ansvarlige.
Og det er ikke bare GDPR. Profesjonell taushetsplikt — regulert for advokater, leger, psykologer, revisorer og mange andre — krever at kommunikasjon med klienten skal være konfidensiell. Ikke konfidensiell "så langt som mulig". Virkelig konfidensiell. Hvis kanalen du bruker ikke kan garantere det teknisk, tar du en risiko du ikke burde ta.
Hva trenger en profesjonell?
Det en fagperson som håndterer sensitiv informasjon trenger, er overraskende enkelt. Vedkommende trenger en kanal der meldingene går direkte fra egen enhet til mottakerens enhet, uten å gå via noen mellomserver. Der ingen kopi blir liggende i noen sky. Der det ikke er nødvendig å oppgi privat telefonnummer. Og der infrastrukturen overholder europeiske regler fullt ut.
Vedkommende trenger ikke en komplisert app. Trenger ikke opplæring. Trenger ikke endre sin måte å jobbe på. Vedkommende trenger nøyaktig det samme som brukes nå — umiddelbar meldingstjeneste — men med den tekniske garantien om at informasjonen ikke forlater enhetene til de to personene som deltar i samtalen.
Forskjellen mellom å kryptere og å ikke lagre
Å kryptere en melding og lagre den på en server er som å legge et dokument i en safe og la den stå i huset til en fremmed. Safen er god, ja. Men dokumentet er fortsatt i andres hus. Og den andre kan motta en rettskjennelse, kan lide et dataangrep, eller kan rett og slett endre sine tjenestevilkår.
Alternativet er at dokumentet aldri forlater kontoret ditt. At det går direkte fra ditt bord til klientens bord, uten å passere gjennom noen mellomledd. Det er det direkte kommunikasjon mellom enheter gjør: den fjerner mellomleddet. Ikke fordi mellomleddet er dårlig. Det er at mellomleddet er unødvendig. Og det unødvendige, innen sikkerhet, er alltid en risiko.
Et spørsmål om ansvar
Til syvende og sist er spørsmålet enhver profesjonell burde stille seg: Hvis en samtale med min klient i morgen lekker ut, kan jeg bevise at jeg brukte en teknisk sikker kanal? Kan jeg bevise at dataene aldri forlot våre enheter? Kan jeg bevise at jeg ikke var avhengig av godviljen til et selskap på et annet kontinent?
Verktøyet du velger for å kommunisere med dine klienter sier mye om hvordan du verdsetter deres tillit. Og det finnes verktøy som er designet nettopp for det: for at tillit ikke skal avhenge av løfter, men av arkitektur.