Problemet du ikke visste du hadde
Hvis selskapet ditt sender fakturaer, bestillinger, følgesedler eller ethvert dokument med kundedata via en konvensjonell meldingsapp, passerer de dataene gjennom servere som sannsynligvis ikke er i Europa. Eller hvis de er det, tilhører de et selskap underlagt utenlandsk lovgivning. GDPR har noe å si om det.
Den europeiske personvernforordningen krever å vite hvor dataene dine befinner seg, hvem som har tilgang til dem og under hvilken jurisdiksjon. Når du bruker en meldingsapp med sentral server, passerer dokumentene dine gjennom en infrastruktur du ikke kontrollerer. Dine kunders data blir liggende lagret — om enn midlertidig — på maskiner som tilhører et annet selskap, i et annet land, under andre lover.
Hva som endres når det ikke er noen server
I en punkt-til-punkt-kommunikasjon går dataene direkte fra avsenderens enhet til mottakerens enhet. De passerer ikke gjennom noen mellomserver. De lagres ikke i noen tredjeparts infrastruktur. Dokumentet forlater din datamaskin i Lugo og ankommer din klients datamaskin i Barcelona. Eller i Berlin. Eller i Lisboa. Men det passerer aldri gjennom Silicon Valley.
Dette er ikke en liten teknisk detalj. Her overholdes ikke GDPR med anstrengelse og god vilje. Den overholdes fordi arkitekturen gjør det umulig å bryte den. Det er ingen internasjonal dataoverføring fordi det ikke er overføring til noen tredjepart. Dataene er på din enhet og på din samtalepartners enhet. Ingen andre steder.
Hvem dette betyr noe for
Hvis du er advokat og sender en kontrakt til en klient via meldinger, passerer dataene i den kontrakten gjennom en server. Hvis du er skatterådgiver og deler en skattemelding, passerer de dataene gjennom en server. Hvis du er lege og sender en rapport til en pasient, passerer helsedataene gjennom en server. I alle disse tilfellene delegerer du oppbevaringen av konfidensiell informasjon til et selskap du ikke har valgt og som du ikke kontrollerer.
Det er ikke det at du gjør noe galt med vilje. Det er at verktøyet du bruker ikke gir deg noe annet valg. Den eneste måten dine profesjonelle data ikke passerer gjennom tredjeparts servere på, er at kommunikasjonen er direkte. Uten mellomledd. Fra din skjerm til vedkommendes skjerm.
Automatisk overholdelse
Med en P2P-kommunikasjon trenger du ikke revidere hvor meldingstjenestens servere befinner seg. Du trenger ikke verifisere om den overholder Privacy Shield eller EUs standardkontraktsklausuler. Du trenger ikke legge til en klausul i din personvernerklæring som forklarer at dine data "kan bli behandlet utenfor EØS". Ingenting av det gjelder, fordi ingen tredjepart behandler dine data.
Overholdelse avhenger ikke av noens godvilje. Den avhenger ikke av en databehandleravtale med en leverandør. Den avhenger ikke av om et amerikansk selskap opprettholder sitt engasjement for europeisk lovgivning. Den avhenger av arkitekturen. Og arkitekturen er verifiserbar, inmutable og ombestemmer seg ikke.
Spørsmålet til din neste revisjon
Neste gang noen spør deg hvor dine kunders data befinner seg, er det beste mulige svaret: "På min enhet og på deres. Ingen andre steder." Du trenger ikke en hundre siders rapport. Du trenger ikke en personvernombud (DPO) som sjekker kontrakter med leverandører. Personvernet til dine kunders data er garantert ved design, ikke ved løfter.