Problemet du inte visste att du hade
Om ditt företag skickar fakturor, beställningar, följesedlar eller andra dokument med kunduppgifter via en konventionell meddelandeapp passerar dessa uppgifter genom servrar som förmodligen inte finns i Europa. Eller om de gör det, tillhör de ett företag som lyder under utländsk lagstiftning. GDPR har något att säga om det.
Europeiska dataskyddsregler kräver att du vet var dina uppgifter finns, vem som har tillgång till dem och under vilken jurisdiktion. När du använder en meddelandeapp med en central server passerar dina dokument genom infrastruktur du inte kontrollerar. Dina kunders uppgifter lagras — om än tillfälligt — på maskiner som tillhör ett annat företag, i ett annat land, under andra lagar.
Vad som förändras när det inte finns någon server
I P2P-kommunikation går uppgifterna direkt från avsändarens enhet till mottagarens. De passerar ingen mellanliggande server. De lagras inte på någon tredjepartsinfrastruktur. Dokumentet lämnar din dator i Lugo och anländer till din kunds dator i Barcelona. Eller Berlin. Eller Lissabon. Men det passerar aldrig Silicon Valley.
Detta är inte en liten teknisk detalj. Här sker GDPR-efterlevnad inte genom ansträngning och god vilja. Den sker för att arkitekturen gör det omöjligt att bryta mot reglerna. Det finns ingen internationell dataöverföring eftersom det inte finns någon överföring till tredje part. Uppgifterna finns på din enhet och din motparts. Ingenstans annars.
Vem detta berör
Om du är advokat och skickar ett avtal till en klient via meddelanden passerar avtalets uppgifter genom en server. Om du är skatterådgivare och delar en skattedeklaration passerar dessa uppgifter genom en server. Om du är läkare och skickar en rapport till en patient passerar hälsouppgifterna genom en server. I alla dessa fall delegerar du förvaringen av konfidentiell information till ett företag du inte valde och inte kontrollerar.
Det är inte att du medvetet gör något fel. Det är att verktyget du använder inte ger dig något annat alternativ. Det enda sättet att dina professionella uppgifter inte ska passera tredjepartsservrar är direkt kommunikation. Inga mellanhänder. Från din skärm till deras.
Automatisk efterlevnad
Med P2P-kommunikation behöver du inte granska var din meddelandeleverantörs servrar finns. Du behöver inte verifiera efterlevnad av Privacy Shield eller EU:s standardavtalsklausuler. Du behöver inte lägga till en klausul i din integritetspolicy som förklarar att dina uppgifter 'kan behandlas utanför Europeiska ekonomiska samarbetsområdet'. Inget av detta gäller, eftersom ingen tredje part behandlar dina uppgifter.
Efterlevnad beror inte på någons goda vilja. Den beror inte på ett databehandlingsavtal med en leverantör. Den beror inte på att ett amerikanskt företag upprätthåller sitt åtagande gentemot europeisk lagstiftning. Den beror på arkitekturen. Och arkitektur är verifierbar, oföränderlig och ändrar inte uppfattning.
Frågan inför din nästa revision
Nästa gång någon frågar dig var dina kunders uppgifter finns är det bästa möjliga svaret: 'På min enhet och på deras. Ingenstans annars.' Ingen hundrasidig rapport behövs. Ingen DPO som granskar leverantörsavtal. Dina kunders dataintegritet garanteras genom design, inte genom löften.