Därför ska du välja europeisk hosting av din visselblåsartjänst 

För visselblåsning är trovärdighet helt avgörande. Man hanterar ofta känslig information som kan röra enskilda individer, eller företagets verksamhet. Efter implementeringen av dataskyddsförordningen GDPR och ogiltigförklaringen av Privacy Shield har skyddet för den enskilda personens integritet blivit ännu mera centralt. Under inga omständigheter ska externa aktörer kunna begära ut informationen i visselblåsarärenden. Av den anledningen har det blivit allt viktigare att välja europeisk hosting av din visselblåsartjänst.  

I vår guide ska vi ta upp saker att tänka på vid hantering och överföring av data och personuppgifter, något som är mycket viktigt att beakta vid valet av organisationens visselblåsartjänst.  

1. Vad omfattar personuppgifter? 

2. Överföring av data utanför EU/EES 

3. Privacy Shield-överenskommelsen 

4. Vad Schrems II-domen innebär för europeiska företag 

5. Vad är EU:s standardavtalsklausuler? 

6. Kan amerikanska bolag behandla europeiska personuppgifter? 

7. Långsiktiga lösningar för dataöverföring 

1. Vad är personuppgifter? 

Hit räknar man all information om en identifierad fysisk person, eller en person som är möjlig att identifiera genom uppgifterna. Definitionen av personuppgifter är väldigt bred, men kan till exempel omfatta följande:  

• Namn, adress, personnummer 
• Passnummer eller nummer på nationellt id-kort 
• Löne-, inkomst- och skatteuppgifter 
• Fysiologisk, psykisk, kulturell och social identitet 
• IP-adress eller nätverksidentifikationsnummer, lokaliseringsuppgifter 

Till känsliga eller extra skyddsvärda personuppgifter räknar man bland annat uppgifter om etnicitet, sexualitet, politiska och religiösa övertygelser, hälso- och sjukvårdsuppgifter, genetiska och biometriska uppgifter samt information om personens sociala förhållanden och privata sfär. Särskilt skyddsvärda personuppgifter får man inte samla in och lagra utom i speciellt motiverade fall och man ska hantera dem med extra försiktighet.  

Personuppgifter kan man fritt överföra inom EU/EES-området tack vare dataskyddsförordningen GDPR. Den ger alla medlemmar inom den Europeiska unionen samma skydd för personuppgifter. Motsvarande lagar finns inte utanför unionen, och därför är reglerna för att överföra personuppgifter till tredje land mycket strikta.  

2. Vad är överföring till tredje land? 

Till tredje land räknar man alla länder utanför EU/EES-området. Huvudregeln är att inga personuppgifter får överföras till tredje land, vilket också inkluderar att anlita en leverantör utanför unionsområdet. 

För att exportera personuppgifter till tredje land måste skyddet för europeiska medborgare enligt GDPR uppfyllas på följande sätt:  

• Hantering av personuppgifter är tillåtet i den specifika situationen (till exempel för att uppfylla ett avtal).  

• Den europeiska kommissionen har bedömt att landet har tillräckligt bra uppgiftsskydd. USA är inte med på listan över säkra länder.  

• Organisationen ordnar själva tillräckliga garantier, till exempel specifika bestämmelser i avtalet med den utomeuropeiska parten (se EU:s standardavtalsklausuler nedan). 

• Det föreligger särskilda skäl och undantag, till exempel samtycke av den berörda personen. 
   

3. Vad är Privacy Shield? 

Privacy Shield är en form av självcertifiering i USA där företagen kan intyga att de uppfyller vissa krav. Tidigare har Privacy Shield-överenskommelsen godkänts av EU och utgjort en grund för överföring av personuppgifter från EU till USA.  

Men efter att EU-domstolen granskat överenskommelsen (se Schrems II nedan) fann man att Privacy Shield inte erbjuder ett tillräckligt rättsskydd mot övervaknings- och underrättelseprogram. Genom brister i den amerikanska lagstiftningen kan amerikanska myndigheter begära åtkomst till EU-medborgares personuppgifter, vilket ledde till att överenskommelsen upphävdes.  

4. Vad är Schrems II – domen och hur påverkar den europeiska organisationer? 

Genom Privacy Shield har europeiska företag kunnat använda sig av amerikanska molntjänster utan att behöva beakta att de personuppgifter man samlade in genom tjänsterna lagrades hos företag i USA. Även cirka 5 000 amerikanska företag, bland annat Facebook, använde sig av Privacy Shield för att kunna ta emot personuppgifter från europeiska användare.  

Men Maximilian Schrems, dataskyddsaktivist från Österrike, godkände inte att Facebook överförde hans personuppgifter till USA, eftersom amerikanska lagar inte erbjuder tillräckligt skydd mot underrättelseverksamhet. Schrems väckte talan i ärendet till Irlands dataskyddsmyndighet, och i juli 2020 fastställde EU-domstolen att Privacy Shield-överenskommelsen mellan EU och USA inte ger ett tillräckligt skydd. Genom domen står det klart att EU:s dataskyddsförordning (GDPR) ska tillämpas även när kommersiella aktörer överför personuppgifter utanför EU/EES-området.  

5. EU har skapat nya standardavtalsklasuler 

Schrems II-domen betonar alltså att skyddet enligt GDPR för fysiska personer ska gälla vid överföring av personuppgifter, och det är inte tillåtet att överföra data till länder som har sämre skydd för personuppgifter än den som EU garanterar alla medborgare. Dataöverföring är möjligt endast i de fall där man vidtagit tillräckliga skyddsåtgärder.  

För att göra det lättare att följa villkoren i Schrems II-domen, antog EU-kommissionen i juni 2021 en ny uppsättning så kallade standardavtalsklausuler. Tanken är att i allt väsentligt upprätthålla samma nivå av skydd för grundläggande friheter och rättigheter som gäller inom EU. För att uppfylla kraven för säker överföring av personuppgifterna, kan klausulerna behöva kompletteras med ytterligare skyddsåtgärder. Detta är upp till den personuppgiftsansvarige att avgöra från fall till fall.  

6. Kan amerikanska företag över huvudtaget behandla europeiska personuppgifter? 

Amerikanska bolag som är stora inom molntjänster, till exempel Microsoft med Azure och Microsoft 365, har försäkrat sina kunder att företaget ska behandla och lagra all data inom EU och därmed efterleva GDPR.  

Förutom det uppenbart olönsamma i att skapa flera parallella strukturer, är det heller ingen garanti för att kunna kringgå amerikansk lagstiftning. FISA –  Foreign Intelligence Surveillance Act – är en underrättelselag som ger amerikanska myndigheter rätt att kräva ut europeiska personuppgifter även om företagets servrar finns inom EU-territorium.  

Maximilian Schrems har grundat den icke-vinstdrivande organisationen None of Your Business (Noyb) för att hålla koll på efterlevnad av GDPR och annan potentiellt integritetskränkande databehandling. Han påpekar att stora amerikanska företag fortfarande lyder under FISA-lagen och måste lämna ut data till amerikanska myndigheter om den efterfrågas. Svenska integritetsskyddsmyndigheten IMY har inlett granskningar efter att Noyb lämnat klagomål mot svenska företag.  

7. Vilka är de långsiktiga lösningarna för hosting av visselblåsartjänst? 

Idag finns det ännu ingen enkel och heltäckande lösning för att på laglig väg behandla personuppgifter vare sig i USA, eller i något annat land utanför EU. Om man väljer att använda standardavtalsklausulerna, måste den personuppgiftsansvariga för varje fall avgöra om det krävs någon typ av extra skyddsåtgärd.  

Arbetet med att skapa ett heleuropeiskt digitalt ekosystem och moln för datalagring har påbörjats, men ligger långt fram i tiden. Idag är utan tvekan den bästa lösningen för europeiska företag som behandlar personuppgifter att välja en europeisk leverantör. På så vis kan man garantera att alla data lagras på servrar inom EU/EES och att man uppfyller kraven enligt GDPR. Detta gäller även om överföringen sker via en underleverantör.  

Hosting av visselblåsartjänster: Databehandling och -säkerhet ska garantera användarnas personliga integritet  

Det är ytterst viktigt att både privata företag och offentliga organisationer är medvetna om vilken typ av data man samlar in samt hur man hanterar och lagrar den. Om ni är osäkra på i vilken miljö er tjänsteleverantör hanterar organisationens data bör ni se över detta, eftersom det kan saknas laglig grund för behandling av personuppgifter utanför EU/EES. Genom att välja en europeisk leverantör för hosting av visselblåsartjänster kan man undvika databehandling som inte garanterar användarnas personliga integritet, och det är enklare att uppfylla alla krav i dataskyddsförordningen.  

Whistlelink har sedan länge samarbetat med Glesys vad gäller hosting av visselblåsartjänst. GleSYS är ett skandinaviskt bolag med toppmoderna och säkra datacenter som uppfyller lagens alla krav. En ISO 27001-certifiering inom ledningssystem för informationssäkerhet visar att man uppfyller alla säkerhetskrav inom konfidentialitet, riktighet och tillgänglighet, såväl som tillämpliga lagar.  

Vår vision är att ge alla organisationer marknadens bästa, säkraste och mest användarvänliga visselblåsarsystem, och vi tar datasäkerhet på högsta allvar. Tack vare vårt långa samarbete med GleSYS kan vi erbjuda en komplett visselblåsartjänst där alla känsliga data lagras på europeiska (svenska) servrar.

Vill du veta mer om en säker visselblåsarfunktion och säkra interna rapportkanaler?
Läs om EU:s visselblåsardirektiv här. Du kan läsa om den nya svenska visselblåsarlagen här.

Letar du efter ett enkelt och säkert visselblåsarsystem? Läs mera här.

Vill du diskutera visselblåsarlösning för just din organisation? Kontakta oss eller boka en gratis demo av systemet!