Ett problem som nästan ingen ser
En advokat tar emot ett känsligt dokument från sin klient. En läkare diskuterar en diagnos med en kollega. En psykolog samordnar med en psykiater kring en patients behandling. En skatterådgivare skickar uppgifterna till en deklaration. Alla gör det via meddelanden. Och nästan ingen har stannat upp och tänkt efter vart de meddelandena tar vägen.
Svaret är i de flesta fall: på en server de inte kontrollerar, i ett land vars lagstiftning de inte känner till, hanterat av ett företag vars affärsmodell är just att samla in data. Meddelandet kan vara krypterat under överföring, men väl på servern är det en kopia lagrad i en tredje parts infrastruktur.
Vad lagen säger
EU:s GDPR är tydlig: den som hanterar tredje parters personuppgifter ansvarar för att skydda dem med lämpliga tekniska åtgärder. God vilja räcker inte. Det räcker inte att appen säger att den krypterar. Om din klients data finns på en server som inte uppfyller europeisk lagstiftning är det du som bär ansvaret.
Och det handlar inte bara om GDPR. Yrkessekretessen — reglerad för advokater, läkare, psykologer, revisorer och många andra — kräver att kommunikationen med klienten är konfidentiell. Inte konfidentiell "i möjligaste mån". Konfidentiell på riktigt. Om kanalen du använder inte kan garantera det tekniskt tar du en risk du inte borde ta.
Vad behöver en yrkesutövare?
Vad en yrkesutövare som hanterar känslig information behöver är förvånansvärt enkelt. En kanal där meddelandena går direkt från den egna enheten till mottagarens, utan att passera genom någon mellanliggande server. Där ingen kopia sparas i något moln. Där man inte behöver lämna ut sitt personliga telefonnummer. Och där infrastrukturen till fullo uppfyller europeisk lagstiftning.
Man behöver inte en komplex app. Inte utbildning. Inte ändra sitt arbetssätt. Man behöver exakt det man redan använder — snabbmeddelanden — men med den tekniska garantin att informationen inte lämnar enheterna hos de två personerna som deltar i konversationen.
Skillnaden mellan att kryptera och att inte lagra
Att kryptera ett meddelande och lagra det på en server är som att lägga ett dokument i ett kassaskåp och lämna det i en okänd persons hem. Kassaskåpet är bra, ja. Men dokumentet befinner sig fortfarande hemma hos någon annan. Och den personen kan få ett domstolsbeslut, drabbas av en cyberattack eller helt enkelt ändra sina användarvillkor.
Alternativet är att dokumentet aldrig lämnar ditt kontor. Att det går direkt från ditt skrivbord till din klients skrivbord, utan att passera genom någon mellanhand. Det är vad direkt kommunikation mellan enheter gör: den eliminerar mellanhanden. Det är inte att mellanhanden är dålig. Det är att mellanhanden är onödig. Och det onödiga är, inom säkerhet, alltid en risk.
En fråga om ansvar
Till slut är frågan som varje yrkesutövare borde ställa sig: om en konversation med min klient läcker imorgon, kan jag bevisa att jag använde en tekniskt säker kanal? Kan jag bevisa att uppgifterna aldrig lämnade våra enheter? Kan jag bevisa att jag inte förlitade mig på god vilja från ett företag på en annan kontinent?
Verktyget du väljer för att kommunicera med dina klienter säger mycket om hur du värderar deras förtroende. Och det finns verktyg som är designade exakt för det: så att förtroendet inte beror på löften, utan på arkitekturen.