GDPR utan krångel

Vad händer med din data egentligen?

För dig som hellre förstår än bara följer reglerna. Här tar vi GDPR utan jurist-jargong och visar samtidigt vad vi själva gör för att hålla det vi lovar.

Tänkvärt

När du har ett företag på nätet, hamnar dina uppgifter alltid någonstans. Bilder, kunduppgifter, mail och filer.

Frågan är inte enbart var informationen lagras fysiskt, utan vem som har laglig rätt att läsa informationen. Och det är just där GDPR kommer in i bilden.

Vi har samlat det vi tycker är viktigast. Öppna en sektion i taget, så går vi igenom det ett steg i taget.

Fem områden, en sektion i taget

Många utgår från att data är skyddad så fort servern står i Europa. Men så enkelt är det tyvärr inte. Vem som äger servern spelar ofta större roll än var den faktiskt står.

Två begrepp som ofta blandas ihop

Datalagring handlar om var servern står rent fysiskt. Datasuveränitet handlar om vilken lagstiftning som faktiskt gäller för informationen som ligger där.

En server som står i Frankfurt men ägs av ett amerikanskt företag omfattas fortfarande av amerikansk lag. Det innebär att amerikanska myndigheter kan kräva ut datan från företaget, trots att den ligger på en server i Europa.

Lagarna som krockar

Den amerikanska CLOUD Act från 2018 ger amerikanska myndigheter rätt att begära ut data från amerikanska bolag, oavsett var i världen den datan råkar finnas lagrad. Det krockar med GDPR, som kräver internationella avtal innan utländska myndigheter får komma åt uppgifter om EU-medborgare.

Flera tillsynsmyndigheter i Europa, bland annat i Österrike, Frankrike och Italien, har redan kommit fram till att vissa amerikanska molntjänster bryter mot GDPR.

Så påverkar det dig

Om du säljer till svenska kunder och använder ett amerikanskt verktyg som lagrar deras mejladresser, så är det inte säkert att du lever upp till GDPR fullt ut.
Inte ens om servrarna råkar stå i Europa.

Cookie-rutan som dyker upp på de flesta sidor är bara en liten del av helheten. Det mesta händer i tysthet, i bakgrunden. Och ofta utan sidägarens vetskap.

Så här kan det se ut på en helt vanlig hemsida

  • Google Fonts laddas oftast direkt från Googles servrar, vilket gör att besökarens IP-adress skickas till USA varje gång sidan öppnas.
  • Spårningspixlar från Facebook, Google och andra kopplar dina besökare till profiler för riktad reklam.
  • Externa CDN-tjänster för bilder och skript kan logga vad dina besökare gör, utan att du själv märker något.
  • Inbäddade YouTube-videor börjar ladda Google-skript redan innan någon ens klickat på play.

Varför anonymisering av IP inte räcker

Många påstår att de anonymiserar IP-adresser i sina analysverktyg. Men det vanliga är att maskeringen sker efter att uppgifterna har skickats iväg. Då har besökarens information redan lämnat sidan.

Detta har faktiskt prövats i domstol

En tysk domstol dömde 2022 en sidägare att betala skadestånd, just för att Google Fonts laddades från Googles servrar utan att besökaren samtyckt. Och det är inte ett enskilt fall, det är så många sidor fungerar idag.

Så påverkar det dig

Du kan ha en helt vanlig WordPress-sida och ändå läcka besökaruppgifter till tre olika amerikanska företag varje gång någon laddar startsidan. För att upptäcka det måste man verkligen sätta sig och gå igenom sidkoden noggrant.

GDPR är inte till för att krångla till saker. Lagen finns för att vanliga människor ska ha kontroll över sin egen information. För dig som driver ett mindre företag innebär det några ganska konkreta saker.

Det du behöver ha koll på

  • Vilka uppgifter du faktiskt samlar in, och varför du behöver dem.
  • Hur länge du sparar dem, och varför just så länge.
  • Vilka underleverantörer som har tillgång till uppgifterna, alltså de som du själv har valt att samarbeta med.
  • Hur någon kan begära ut, ändra eller radera sin egen information hos dig.
  • En enkel plan för vad du gör om något skulle hända.

Du behöver inte vara jurist

Det vanligaste missförståndet är att GDPR kräver dyra konsulter och tjocka pärmar. Det stämmer kanske för storbolag som hanterar enorma mängder känsliga uppgifter. För ett mindre företag handlar det mest om att veta vad som händer med datan och kunna redovisa det.

Och om du själv inte vet, så är första steget att fråga din leverantör. Om de inte heller kan svara, då är det kanske dags att byta leverantör.

Så påverkar det dig

Bra GDPR-arbete är inte ett papper i en pärm. Det är ett modernare sätt att tänka. Vet du själv vart uppgifterna tar vägen i ditt företag, och kan du förklara det vid behov, då har du redan gjort det viktigaste.

Att säga "vi tar GDPR på allvar" är lätt. Att faktiskt leva som man lär är svårare. Här är de tekniska val SENZAI gjort, och tanken bakom dem.

Infrastrukturen

  • All vår infrastruktur ligger hos Hetzner i Helsingfors. Tysk leverantör, finskt datacenter, allt under europeisk lag.
  • Vi översätter själva webbadresser till serveradresser, så att inte ens den informationen läcker till Google eller Cloudflare.
  • Vi kör vår egen mellanserver för videosamtal. Det betyder att själva samtalstrafiken aldrig passerar tredje part.
  • Vi blockerar oönskade besök på servern, begränsar var mail får skickas ifrån, och har flera olika lager av skydd mot skräppost och intrångsförsök.

Ingen data läcker till tredje part

  • Inga externa typsnitt. Vi har närmare tvåhundra av de vanligaste typsnitten på våra egna servrar, ingen koppling till Google Fonts.
  • Ingen besöksanalys via tredje part. Ingen Facebook-pixel. Ingen reklamspårning. Vi mäter ingenting via tredje part.
  • Inga externa skript på dina sidor, som du inte själv aktivt har valt att lägga in.

Egna verktyg

  • SENZAI Mail för e-post, ingen Microsoft eller Gmail.
  • SENZAI Drive för filer, ingen Dropbox eller Google Drive.
  • SENZAI Meet för videomöten, ingen Zoom eller Teams.
  • SENZAI Translate, SENZAI Blogg, SENZAI Kalender och mycket mer, alla byggda på samma princip.
Så påverkar det dig

Med SENZAI som webbhotell stannar dina uppgifter inom europeisk lagstiftning. Det är ovanligt här på den svenska marknaden, men för oss är det själva grundtanken.

Visa och Mastercard är fortfarande de stora aktörerna i Sverige, men Europa håller på att bygga upp ett alternativ.

Vad är Wero?

Wero är en europeisk betalplånbok som sexton europeiska banker har lanserat tillsammans, inom ramen för European Payments Initiative. Tanken är att skapa en gemensam europeisk lösning som täcker både kortbetalningar och digitala plånböcker, ett alternativ till de amerikanska tjänster som idag dominerar marknaden.

Tekniskt bygger Wero på SEPA Instant Credit Transfer. I praktiken handlar det om direkta överföringar mellan bankkonton, utan att gå via något kortnätverk. Just nu är Wero igång i Tyskland, Frankrike, Belgien och Nederländerna, både för betalningar mellan privatpersoner och för e-handel.

Varför Sverige inte är med ännu

Ingen svensk bank har ännu gått med i samarbetet, framför allt för att Swish redan har en så stark ställning här hemma. Men eftersom Wero bygger på samma SEPA-system som svenska banker redan måste stödja, är det troligen bara en tidsfråga innan Wero också tar plats i Sverige.

Den politiska bakgrunden

EU:s satsning på Wero handlar inte bara om bekvämlighet. Bakgrunden är samma som för molntjänster, alltså datasuveränitet. Visa och Mastercard är amerikanska bolag, och varje kortbetalning skapar enorma mängder uppgifter om europeiska medborgare. Att ha ett eget europeiskt betalsystem har därför blivit en strategisk fråga för EU.

Så påverkar det dig

Just nu är Stripe och Klarna fortfarande de självklara valen för en svensk webbshop. Men inom några år kommer Wero med största sannolikhet dyka upp som ett alternativ även här. Vi håller koll på utvecklingen och är redo att integrera så fort det blir aktuellt för svenska kunder.

Vill du flytta hem din data?

Vi tittar gärna på hur det ser ut hos dig idag, och vad som skulle kunna passa bättre.

Kontakta oss

Hos oss äger du din data.