Det är hög tid att sluta överföra personuppgifter med Safe Harbor som grund. Här tipsar två experter om hur företag kan hantera omställningen.
Efter EU-domstolens dom i oktober är överföring av data med Safe Harbor som grund inte längre tillåten. Organisationer som överför personuppgifter med stöd av Safe Harbor har fått fram till månadsskiftet på sig att ställa om. Svenska Datainspektionen verkar gå försiktigt fram, men i februari kan EU:s dataskyddsmyndigheter alltså teoretiskt sett börja vidta åtgärder.
Datainspektionens chefjurist Hans-Olof Lindblom rekommenderar fem åtgärder:
- Kartlägg organisationens IT-system och tjänster där det finns en överföring av personuppgifter till USA.
- Gör en förnyad analys av vilken typ av personuppgifter som hanteras i de tjänster som berörs och fundera på alternativ.
- Ta kontakt med berörda leverantörer och fråga efter deras åtgärder till följd av Safe Harbor-domen. Fråga om de planerar någon förändring av var och hur lagring sker.
- Analysera möjligheterna inom gällande avtal. Finns det möjlighet till omförhandling?
- Begränsa möjligheterna för leverantörerna att överföra personuppgifter till USA i kommande avtal.
Lotta Kavtaradze, dataskyddsexpert knuten till Moretime, betonar också vikten av kartläggning av vilka uppgifter som lagras och hur. Hon rekommenderar också riskanalyser och interninformation:
Fredrik Svärd