GDPR

Vad är GDPR?

I en digitaliserad värld är personlig integritet en mänsklig rättighet. Dataskyddsförordningen, eller GDPR (General Data Protection Regulation), är EU:s gemensamma lagstiftning som syftar till att skydda denna rättighet. För företag innebär det ett strikt ansvar för hur man samlar in, lagrar och hanterar personuppgifter.

GDPR handlar inte bara om att undvika böter; det handlar om att bygga förtroende. Kunder och medarbetare måste kunna lita på att deras information hanteras säkert och lagligt. För svenska företag har valet av IT-infrastruktur och lagringsplats blivit en av de mest avgörande faktorerna för att kunna leva upp till dessa krav.

Lagen bygger på flera kärnprinciper, däribland:

• Laglighet: Det måste finnas en rättslig grund för att behandla personuppgifter.
• Ändamålsbegränsning: Data får bara samlas in för specifika, angivna syften.
• Uppgiftsminimering: Man ska inte samla in mer information än vad som är nödvändigt.
• Lagringsminimering: Data ska inte sparas längre än nödvändigt.
• Integritet och konfidentialitet: Data måste skyddas mot obehörig åtkomst och förlust (säkerhet).

Varför är valet av molnleverantör avgörande för GDPR?

En av de största utmaningarna med GDPR är överföring av data till länder utanför EU/EES (tredjeland), särskilt USA. Efter domar som Schrems II har det blivit juridiskt komplicerat att använda amerikanska molntjänster för personuppgifter, eftersom amerikansk lag (Cloud Act) kan tvinga leverantörer att lämna ut data till amerikanska myndigheter – vilket strider mot GDPR.

Att lagra data i Savecores svenska datacenter eliminerar denna risk. Eftersom vi är ett svenskt bolag, med servrar på svensk mark, lyder er data uteslutande under svensk och europeisk lagstiftning. Detta ger en juridisk trygghet som är svår att uppnå med globala jättar.

Hörnstenarna i ett GDPR-säkert IT-arbete

Att följa GDPR är ett löpande arbete som kräver både tekniska och organisatoriska åtgärder. Här är några av de viktigaste tekniska skyddsåtgärderna som varje organisation måste överväga:

• Säker lagring och kryptering
  För att skydda personuppgifter mot intrång måste de förvaras säkert. Detta innebär att servrar måste vara fysiskt skyddade och att databaser bör vara krypterade. Kryptering gör att informationen blir oläslig för obehöriga, även om de skulle komma över filerna.
• Åtkomstkontroll och loggning
  GDPR kräver att ni har kontroll över vem som har tillgång till personuppgifter. Endast behörig personal ska ha åtkomst. Dessutom krävs ofta loggning för att kunna spåra vem som har tittat på eller ändrat information, vilket är avgörande vid en utredning av en incident.
• Rätten att bli glömd och dataportabilitet
  Era IT-system måste tekniskt stödja de registrerades rättigheter. Kan ni enkelt radera en persons alla uppgifter om de begär det? Kan ni exportera datan i ett läsbart format? Detta ställer krav på hur era databaser och backuper är strukturerade.
• Incidenthantering (Personuppgiftsincidenter)
  Om en säkerhetsincident inträffar (t.ex. ett dataintrång eller en förlorad laptop) måste ni ha rutiner för att upptäcka, utreda och rapportera detta till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Savecores övervakningstjänster är designade för att ge er just denna snabba upptäcktsförmåga.

Partnerns roll i regelefterlevnaden

Som personuppgiftsansvarig är det ni som bär ansvaret gentemot era kunder. Men när ni anlitar en IT-leverantör som Savecore agerar vi som ert personuppgiftsbiträde. Det innebär att vi garanterar säkerheten för den data ni anförtror oss. Vi skriver alltid tydliga Personuppgiftsbiträdesavtal (PUB-avtal) som reglerar vårt ansvar och ger er den dokumentation ni behöver för att visa att ni följer lagen.

GDPR är en kvalitetsstämpel

Att ta dataskydd på allvar är inte en belastning, utan en konkurrensfördel. Genom att välja en svensk, säker infrastruktur visar ni att ni respekterar era kunders integritet. Med Savecore får ni en partner som bygger säkerhet och compliance (regelefterlevnad) direkt in i grunden av er IT-miljö.

Kontakta oss för rådgivning!

---

Vanliga frågor och svar (FAQ)

Vad innebär Schrems II-domen för min molnlagring?

Schrems II-domen slog fast att det avtal (Privacy Shield) som tidigare tillät dataöverföring mellan EU och USA var ogiltigt. Det innebär att företag måste vara mycket försiktiga med att lagra personuppgifter hos amerikanska molnleverantörer, då det kan vara svårt att garantera en skyddsnivå som motsvarar GDPR. Svensk lagring är ett sätt att undvika denna problematik.

Vad är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde?

Den personuppgiftsansvariga (oftast ert företag) bestämmer varför och hur personuppgifter ska behandlas och bär det yttersta ansvaret. Ett personuppgiftsbiträde (t.ex. Savecore) är den som behandlar datan för den ansvarigas räkning (t.ex. genom att lagra den på sina servrar).

Måste all data krypteras enligt GDPR?

GDPR nämner inte specifikt att all data måste krypteras, men det rekommenderas starkt som en lämplig säkerhetsåtgärd. Om krypterad data läcker ut är risken för de registrerade personerna betydligt lägre, vilket kan påverka bedömningen vid en incident.

Hur hjälper Savecore oss att uppfylla GDPR?

Vi hjälper er genom att tillhandahålla en infrastruktur med högsta säkerhetsklass placerad i Sverige. Det innebär att er data aldrig lämnar landet och skyddas av svensk lag. Vi erbjuder också tekniska skydd som kryptering, backup och åtkomstkontroll, samt agerar som ett tryggt personuppgiftsbiträde med tydliga avtal.

Vad räknas som en personuppgiftsincident?

En incident är en säkerhetshändelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av personuppgifter. Det kan vara allt från en hackad databas till en borttappad USB-sticka eller ett e-postmeddelande som skickats till fel mottagare.