CloudVigil
Tillbaka till bloggen
Publicerad2 min läsning

GDPR för SaaS: gör datalagring inom EU rätt från start

För ett svenskt SaaS-bolag är datalagring ingen kryssruta – det är ett arkitekturbeslut. Så bygger du in det istället för att klistra på det.

  • Compliance
  • GDPR
  • Moln

Bygger du programvara i Sverige och betjänar europeiska användare är GDPR inget hinder att kringgå – det är en designprincip att omfamna tidigt. De företag som kämpar är de som behandlar dataskydd som en juridisk eftertanke. De som lyckas bygger in det i arkitekturen från första sprinten.

Vet var din data fysiskt finns

GDPR bryr sig om var personuppgifter behandlas och lagras. "Molnet" är inget svar – varje byte ligger i en fysisk region. Lås dina arbetsbelastningar, databaser och säkerhetskopior till EU-regioner medvetet, och verifiera det, för en felkonfigurerad backup som tyst replikerar till en annan kontinent är precis en sådan detalj en revision fångar upp.

Det är långt billigare att upprätthålla i en landing zone än att efterhandsfixa när data redan är spridd överallt.

Minimera först, skydda sedan resten

Den säkraste personuppgiften är den du aldrig samlade in. Innan du skyddar ett fält – fråga om du behöver det alls.

  • Dataminimering – samla bara in det som funktionen verkligen kräver.
  • Ändamålsbegränsning – använd det bara till det användaren godkänt.
  • Lagringsgränser – radera det automatiskt när ändamålet är uppfyllt.

Det som blir kvar ska vara krypterat i vila och i transit, med loggad åtkomst och minsta möjliga behörighet som standard.

Gör de registrerades rättigheter till rutin

Tillgång, rättelse, radering, dataportabilitet – de förfrågningarna kommer. Om att tillmötesgå dem innebär att en utvecklare kör manuell SQL mot produktion är processen både långsam och riskabel. Bygg verktygen så att en supportmedarbetare kan hantera en begäran säkert, och så att varje åtgärd går att granska.

Inbyggt dataskydd är ingen slogan. Det är skillnaden mellan en funktion du levererar och en funktion du måste be om ursäkt för.

Sammanfattning

Datalagring inom EU och GDPR är arkitekturbeslut, inte pappersarbete: vet var data finns, samla in mindre, skydda det som blir kvar och gör de registrerades rättigheter till en rutinåtgärd. Bygg in det tidigt så blir efterlevnad en tyst egenskap hos systemet – inte en återkommande kris.

Tillbaka till bloggen