2017-03-10

Uppförandekoder för GDPR i molnet

Denna gång ett gästspel från kollegan Mats Juhlén med tankar om molnföretagens tilltänkta uppförandekoder inför kommande lagstiftningen.

Vi har den senaste veckan sett att uppförandekoder (Code of conducts) börjar dyka upp på marknaden från organisationer som Cispe och C-SIG om hur man efterlever GDPR i sina molntjänster, lite med olika inriktning och backade av olika företag i branschen. Vad innebär då detta för användarna? En uppförandekod är en avsiktsförklaring och inte ett bindande avtal. Det gör att man fortfarande som kund måste vara väldigt noga med att granska hur de molnleverantörer man jobbar med eller vill jobba med faktiskt hanterar informationen. Vi kan också dra paralleller med Safe harbour-avtalet som tecknades för att garantera att behandling av personuppgifter som lagrades i USA skyddas under samma premisser som om de skulle stannat inom Europas gränser. När väl avtalet prövades i domstol så visade det sig att så inte var fallet och att det faktiskt inte höll. Risken finns att det blir samma sak med en uppförandekod. Intentionen är bra men håller den när den väl provtrycks? Det man kan titta på i stället är corporate binding rules som säkerställer korrekt behandling.  

"Man kan inte friskriva sig från lagstiftning med hjälp av uppförandekoder. Därmed inte sagt att dessa är fel - det är bra att branschen försöker anpassa sig och erbjuda tjänster som följer lagen men man ska alltid granska med ett kritiskt öga." -- Mats