F\u00f6r visselbl\u00e5sning \u00e4r trov\u00e4rdighet helt avg\u00f6rande. Man hanterar ofta k\u00e4nslig information som kan r\u00f6ra enskilda individer, eller f\u00f6retagets verksamhet. Efter implementeringen av dataskyddsf\u00f6rordningen GDPR och ogiltigf\u00f6rklaringen av Privacy Shield har skyddet f\u00f6r den enskilda personens integritet blivit \u00e4nnu mera centralt. Under inga omst\u00e4ndigheter ska externa akt\u00f6rer kunna beg\u00e4ra ut informationen i visselbl\u00e5sar\u00e4renden. Av den anledningen har det blivit allt viktigare att v\u00e4lja europeisk hosting av din visselbl\u00e5sartj\u00e4nst. <\/p>\n\n\n\n
I v\u00e5r guide ska vi ta upp saker att t\u00e4nka p\u00e5 vid hantering och \u00f6verf\u00f6ring av data och personuppgifter, n\u00e5got som \u00e4r mycket viktigt att beakta vid valet av organisationens visselbl\u00e5sartj\u00e4nst. <\/p>\n\n\n\n
Hit r\u00e4knar man all information om en identifierad fysisk person, eller en person som \u00e4r m\u00f6jlig att identifiera genom uppgifterna. Definitionen av personuppgifter \u00e4r v\u00e4ldigt bred, men kan till exempel omfatta f\u00f6ljande: <\/p>\n\n\n\n
Till k\u00e4nsliga eller extra skyddsv\u00e4rda personuppgifter r\u00e4knar man bland annat uppgifter om etnicitet, sexualitet, politiska och religi\u00f6sa \u00f6vertygelser, h\u00e4lso- och sjukv\u00e5rdsuppgifter, genetiska och biometriska uppgifter samt information om personens sociala f\u00f6rh\u00e5llanden och privata sf\u00e4r. S\u00e4rskilt skyddsv\u00e4rda personuppgifter f\u00e5r man inte samla in och lagra utom i speciellt motiverade fall och man ska hantera dem med extra f\u00f6rsiktighet. <\/p>\n\n\n\n
Personuppgifter kan man fritt \u00f6verf\u00f6ra inom EU\/EES-omr\u00e5det tack vare dataskyddsf\u00f6rordningen GDPR<\/a>. Den ger alla medlemmar inom den Europeiska unionen samma skydd f\u00f6r personuppgifter. Motsvarande lagar finns inte utanf\u00f6r unionen, och d\u00e4rf\u00f6r \u00e4r reglerna f\u00f6r att \u00f6verf\u00f6ra personuppgifter till tredje land mycket strikta. <\/p>\n\n\n\n Till tredje land r\u00e4knar man alla l\u00e4nder utanf\u00f6r EU\/EES-omr\u00e5det. Huvudregeln \u00e4r att inga personuppgifter f\u00e5r \u00f6verf\u00f6ras till tredje land, vilket ocks\u00e5 inkluderar att anlita en leverant\u00f6r utanf\u00f6r unionsomr\u00e5det. <\/p>\n\n\n\n F\u00f6r att exportera personuppgifter till tredje land m\u00e5ste skyddet f\u00f6r europeiska medborgare enligt GDPR uppfyllas p\u00e5 f\u00f6ljande s\u00e4tt: <\/p>\n\n\n\n Privacy Shield \u00e4r en form av sj\u00e4lvcertifiering i USA d\u00e4r f\u00f6retagen kan intyga att de uppfyller vissa krav. Tidigare har Privacy Shield-\u00f6verenskommelsen godk\u00e4nts av EU och utgjort en grund f\u00f6r \u00f6verf\u00f6ring av personuppgifter fr\u00e5n EU till USA. <\/p>\n\n\n\n Men efter att EU-domstolen granskat \u00f6verenskommelsen (se Schrems II nedan) fann man att Privacy Shield inte erbjuder ett tillr\u00e4ckligt r\u00e4ttsskydd mot \u00f6vervaknings- och underr\u00e4ttelseprogram. Genom brister i den amerikanska lagstiftningen kan amerikanska myndigheter beg\u00e4ra \u00e5tkomst till EU-medborgares personuppgifter, vilket ledde till att \u00f6verenskommelsen upph\u00e4vdes. <\/p>\n\n\n\n Genom Privacy Shield har europeiska f\u00f6retag kunnat anv\u00e4nda sig av amerikanska molntj\u00e4nster utan att beh\u00f6va beakta att de personuppgifter man samlade in genom tj\u00e4nsterna lagrades hos f\u00f6retag i USA. \u00c4ven cirka 5\u202f000 amerikanska f\u00f6retag, bland annat Facebook, anv\u00e4nde sig av Privacy Shield f\u00f6r att kunna ta emot personuppgifter fr\u00e5n europeiska anv\u00e4ndare. <\/p>\n\n\n\n Men Maximilian Schrems, dataskyddsaktivist fr\u00e5n \u00d6sterrike, godk\u00e4nde inte att Facebook \u00f6verf\u00f6rde hans personuppgifter till USA, eftersom amerikanska lagar inte erbjuder tillr\u00e4ckligt skydd mot underr\u00e4ttelseverksamhet. Schrems v\u00e4ckte talan i \u00e4rendet till Irlands dataskyddsmyndighet, och i juli 2020 fastst\u00e4llde EU-domstolen att Privacy Shield-\u00f6verenskommelsen mellan EU och USA inte ger ett tillr\u00e4ckligt skydd. Genom domen st\u00e5r det klart att EU:s dataskyddsf\u00f6rordning (GDPR) ska till\u00e4mpas \u00e4ven n\u00e4r kommersiella akt\u00f6rer \u00f6verf\u00f6r personuppgifter utanf\u00f6r EU\/EES-omr\u00e5det. <\/p>\n\n\n\n Schrems II-domen betonar allts\u00e5 att skyddet enligt GDPR f\u00f6r fysiska personer ska g\u00e4lla vid \u00f6verf\u00f6ring av personuppgifter, och det \u00e4r inte till\u00e5tet att \u00f6verf\u00f6ra data till l\u00e4nder som har s\u00e4mre skydd f\u00f6r personuppgifter \u00e4n den som EU garanterar alla medborgare. Data\u00f6verf\u00f6ring \u00e4r m\u00f6jligt endast i de fall d\u00e4r man vidtagit tillr\u00e4ckliga skydds\u00e5tg\u00e4rder. <\/p>\n\n\n\n F\u00f6r att g\u00f6ra det l\u00e4ttare att f\u00f6lja villkoren i Schrems II-domen, antog EU-kommissionen i juni 2021 en ny upps\u00e4ttning s\u00e5 kallade standardavtalsklausuler. Tanken \u00e4r att i allt v\u00e4sentligt uppr\u00e4tth\u00e5lla samma niv\u00e5 av skydd f\u00f6r grundl\u00e4ggande friheter och r\u00e4ttigheter som g\u00e4ller inom EU. F\u00f6r att uppfylla kraven f\u00f6r s\u00e4ker \u00f6verf\u00f6ring av personuppgifterna, kan klausulerna beh\u00f6va kompletteras med ytterligare skydds\u00e5tg\u00e4rder. Detta \u00e4r upp till den personuppgiftsansvarige att avg\u00f6ra fr\u00e5n fall till fall. <\/p>\n\n\n\n Amerikanska bolag som \u00e4r stora inom molntj\u00e4nster, till exempel Microsoft med Azure och Microsoft 365, har f\u00f6rs\u00e4krat sina kunder att f\u00f6retaget ska behandla och lagra all data inom EU och d\u00e4rmed efterleva GDPR. <\/p>\n\n\n\n F\u00f6rutom det uppenbart ol\u00f6nsamma i att skapa flera parallella strukturer, \u00e4r det heller ingen garanti f\u00f6r att kunna kringg\u00e5 amerikansk lagstiftning. FISA – Foreign Intelligence Surveillance Act<\/a> \u2013 \u00e4r en underr\u00e4ttelselag som ger amerikanska myndigheter r\u00e4tt att kr\u00e4va ut europeiska personuppgifter \u00e4ven om f\u00f6retagets servrar finns inom EU-territorium. <\/p>\n\n\n\n Maximilian Schrems har grundat den icke-vinstdrivande organisationen None of Your Business (Noyb)<\/a> f\u00f6r att h\u00e5lla koll p\u00e5 efterlevnad av GDPR och annan potentiellt integritetskr\u00e4nkande databehandling. Han p\u00e5pekar att stora amerikanska f\u00f6retag fortfarande lyder under FISA-lagen och m\u00e5ste l\u00e4mna ut data till amerikanska myndigheter om den efterfr\u00e5gas. Svenska integritetsskyddsmyndigheten IMY har inlett granskningar efter att Noyb l\u00e4mnat klagom\u00e5l mot svenska f\u00f6retag. <\/p>\n\n\n\n Idag finns det \u00e4nnu ingen enkel och helt\u00e4ckande l\u00f6sning f\u00f6r att p\u00e5 laglig v\u00e4g behandla personuppgifter vare sig i USA, eller i n\u00e5got annat land utanf\u00f6r EU. Om man v\u00e4ljer att anv\u00e4nda standardavtalsklausulerna, m\u00e5ste den personuppgiftsansvariga f\u00f6r varje fall avg\u00f6ra om det kr\u00e4vs n\u00e5gon typ av extra skydds\u00e5tg\u00e4rd. <\/p>\n\n\n\n Arbetet med att skapa ett heleuropeiskt digitalt ekosystem och moln f\u00f6r datalagring har p\u00e5b\u00f6rjats, men ligger l\u00e5ngt fram i tiden. Idag \u00e4r utan tvekan den b\u00e4sta l\u00f6sningen f\u00f6r europeiska f\u00f6retag som behandlar personuppgifter att v\u00e4lja en europeisk leverant\u00f6r. P\u00e5 s\u00e5 vis kan man garantera att alla data lagras p\u00e5 servrar inom EU\/EES och att man uppfyller kraven enligt GDPR. Detta g\u00e4ller \u00e4ven om \u00f6verf\u00f6ringen sker via en underleverant\u00f6r. <\/p>\n\n\n\n Det \u00e4r ytterst viktigt att b\u00e5de privata f\u00f6retag och offentliga organisationer \u00e4r medvetna om vilken typ av data man samlar in samt hur man hanterar och lagrar den. Om ni \u00e4r os\u00e4kra p\u00e5 i vilken milj\u00f6 er tj\u00e4nsteleverant\u00f6r hanterar organisationens data b\u00f6r ni se \u00f6ver detta, eftersom det kan saknas laglig grund f\u00f6r behandling av personuppgifter utanf\u00f6r EU\/EES. Genom att v\u00e4lja en europeisk leverant\u00f6r f\u00f6r hosting av visselbl\u00e5sartj\u00e4nster kan man undvika databehandling som inte garanterar anv\u00e4ndarnas personliga integritet, och det \u00e4r enklare att uppfylla alla krav i dataskyddsf\u00f6rordningen. <\/p>\n\n\n\n Whistlelink har sedan l\u00e4nge samarbetat med Glesys vad g\u00e4ller hosting av visselbl\u00e5sartj\u00e4nst. GleSYS \u00e4r ett skandinaviskt bolag<\/a> med toppmoderna och s\u00e4kra datacenter som uppfyller lagens alla krav. En ISO 27001-certifiering inom ledningssystem f\u00f6r informationss\u00e4kerhet visar att man uppfyller alla s\u00e4kerhetskrav inom konfidentialitet, riktighet och tillg\u00e4nglighet, s\u00e5v\u00e4l som till\u00e4mpliga lagar.\u00a0\u00a0<\/p>\n\n\n\n V\u00e5r vision \u00e4r att ge alla organisationer marknadens b\u00e4sta, s\u00e4kraste och mest anv\u00e4ndarv\u00e4nliga visselbl\u00e5sarsystem, och vi tar datas\u00e4kerhet p\u00e5 h\u00f6gsta allvar. Tack vare v\u00e5rt l\u00e5nga samarbete med GleSYS<\/a> kan vi erbjuda en komplett visselbl\u00e5sartj\u00e4nst d\u00e4r alla k\u00e4nsliga data lagras p\u00e5 europeiska (svenska) servrar.<\/p>\n\n\n\n Vill du veta mer om en s\u00e4ker visselbl\u00e5sarfunktion och s\u00e4kra interna rapportkanaler? Letar du efter ett enkelt och s\u00e4kert visselbl\u00e5sarsystem? L\u00e4s mera h\u00e4r<\/a>. <\/p>\n\n\n\n Vill du diskutera visselbl\u00e5sarl\u00f6sning f\u00f6r just din organisation? Kontakta oss<\/a> eller boka en gratis demo<\/a> av systemet!<\/p>\n","protected":false},"excerpt":{"rendered":" F\u00f6r visselbl\u00e5sning \u00e4r trov\u00e4rdighet helt avg\u00f6rande. Man hanterar ofta k\u00e4nslig information som kan r\u00f6ra enskilda individer, eller f\u00f6retagets verksamhet. Efter implementeringen av dataskyddsf\u00f6rordningen GDPR och ogiltigf\u00f6rklaringen av Privacy Shield har skyddet f\u00f6r den enskilda personens integritet blivit \u00e4nnu mera centralt. Under inga omst\u00e4ndigheter ska externa akt\u00f6rer kunna beg\u00e4ra ut informationen i visselbl\u00e5sar\u00e4renden. Av den anledningen […]<\/p>\n","protected":false},"featured_media":37327,"template":"","format":"standard","blog-category":[214],"class_list":["post-37011","blog","type-blog","status-publish","format-standard","has-post-thumbnail","hentry","blog-category-guider"],"yoast_head":"\n2. Vad \u00e4r \u00f6verf\u00f6ring till tredje land? <\/h3>\n\n\n\n
\u00a0<\/li><\/ul>\n\n\n\n3. Vad \u00e4r Privacy Shield? <\/h3>\n\n\n\n
4. Vad \u00e4r Schrems II \u2013 domen och hur p\u00e5verkar den europeiska organisationer? <\/h3>\n\n\n\n
5. EU har skapat nya standardavtalsklasuler <\/h3>\n\n\n\n
6. Kan amerikanska f\u00f6retag \u00f6ver huvudtaget behandla europeiska personuppgifter? <\/h3>\n\n\n\n
7. Vilka \u00e4r de l\u00e5ngsiktiga l\u00f6sningarna f\u00f6r hosting av visselbl\u00e5sartj\u00e4nst? <\/h3>\n\n\n\n
Hosting av visselbl\u00e5sartj\u00e4nster: Databehandling och -s\u00e4kerhet ska garantera anv\u00e4ndarnas personliga integritet <\/h3>\n\n\n\n
<\/h3>\n\n\n\n
L\u00e4s om EU:s visselbl\u00e5sardirektiv h\u00e4r<\/a>. Du kan l\u00e4sa om den nya svenska visselbl\u00e5sarlagen h\u00e4r<\/a>.<\/p>\n\n\n\n