Webperf
Varning för rant om den blixt från klar himmel vissa anser att GDPR råkade ut för i och med Schrems 2-domen 2020. Den domen har en tvåa efter sig för att EU-domstolen redan många år tidigare, i Schrems 1-domen, skrotade den tidens svepskäl, känd som ‘Safe Harbor’.
Av Marcus Österberg
På min ena arbetsplats, Västra Götalandsregionen, har Matomo varit det enda alternativet för webbanalys sedan många år. När Schrems 2-domen slog ner som en bomb (enligt vissa av oss högst förutsägbart) sommaren 2020 kändes det logiskt för mig att börja dela upp min tid för att stötta andra inom offentlig sektor. Många verkade av någon anledning både chockade och handfallna om vad det här innebar. Jag började jobba deltid för byrån Whitespace, med webbanalys och särskilt Matomo som verktyg för offentlig sektor.
Whitespace driver sedan flera år tillbaka en Matomo-molntjänst. Matomo är en plattform för webbanalys, och ett populärt alternativ till bland annat Google Analytics och Adobe Analytics. Sedan Schrems 2 har fler och fler myndigheter, kommuner och även ett och annat företag valt denna GDPR-säkra molntjänst.
Det har lagts tid, kraft och pengar på att säkerställa att tjänsten är helt och hållet förenlig med GDPR och svensk lagstiftning. Infrastrukturen finns numera hos partnern Glesys, vilket innebär en drift i Sverige med personal baserad i Sverige. Tidigare har det även arbetats med Digital Ocean, men i och med Schrems 2-domen gjorde Whitespace (och de jurister vi tagit hjälp av) bedömningen att det inte längre var möjligt.
”Jag inväntar nog EU-domstolens tredje utslag – Schrems 3 – då får jag nog fortsätta som vanligt!”
De flesta jag möter gör samma tolkning av regelverket kring GDPR som jag och kollegorna på Whitespace. Men det är vissa som inte gör det – och medvetet fortsätter jobba med amerikanska driftsleverantörer som Linode, AWS och Digital Ocean. Då känns det fint att kunna hänvisa till den här artikeln av Stefan Lidén - Vad innebär Schrems II för GDPR . Artikeln är bra, men det stora värdet är diskussionen i kommentarerna.
Vari ligger det svåra i att förstå att vi behöver ha lite säkerhetsmarginal för hur lagen ska tolkas? Det är liksom inte våra egna personuppgifter vi hanterar, utan våra kunders, invånares, brukares och patienters! Se för jösse namn till att hantera dem med den omsorg de förtjänar!
Mer om GDPR, Schrems och dataskydd
- My Privacy is None of Your Business - NOYB
- Schrems 1 och Safe Harbor (Wikipedia)
- Schrems 2 och Privacy Shield (Wikipedia)
- Max Schrems (Wikipedia) – personen som drivit processerna som bär hans namn.
- ePrivacy Regulation (Wikipedia) – en tänkt uppföljare till GDPR.
