Naturkartan siktar på att vara 100% GDPR-kompatibel innan årsskiftet

/

Outdoormap har arbetat i snart fyra år med att anpassa Naturkartan till GDPR, med målsättningen att helt följa regelverket innan årets slut.

Ända sedan Dataskyddsförordningen (GDPR) vann laga kraft våren 2018 har Outdoormap AB, oftast i egenskap av Personuppgiftsbiträde, arbetat mycket proaktivt för att Naturkartan ska följa bestämmelserna, något som intensifierades i och med med Schrems II-domen sommaren 2020 och de därpå följande domsluten, som sammantaget har kastat nytt ljus på GDPR’s omfattning och innebörd. 

Hittills har vi åtgärdat och säkerställt de flesta av förordningarna enligt GDPR, utan att nämnvärt ha försämrat våra tjänster, utan tvärtom till och med lyckats förbättra vissa delar. 

Hittills har vi åtgärdat och säkerställt de flesta av förordningarna enligt GDPR
— Emil Hellström, dataskyddsombud, Outdoormap AB

Utan att gå in på några detaljer, har vi bland annat hunnit avveckla och byta ut merparten av Naturkartans kopplingar till Google (däribland Google Analytics till förmån för EU-baserade Matomo och Plausible), samt flyttat i princip all serverkapacitet till EU-baserade tjänster.  

Men att vidta åtgärder som i mångt och mycket ruckar på själva fundamentet till vår verksamhet, har sannerligen tagit tid - och måste få ta tid för att resultatet inte ska bli kontraproduktivt, i den bemärkelsen att våra tjänster blir markant sämre för såväl kunder som användare, vilkas intressen alltid står i fullt fokus. 

Viktigt att dataskyddsreglerna inte försämrar våra tjänster, utan helst förbättrar dem
— Kristofer Björkman - medgrundare av Naturkartan

Outdoormap är inte ensamt om att vara en aning bekymrad över hur dataskyddsregler kan försvåra möjligheterna att bedriva sin verksamhet. 

Svenskt näringsliv lyfter fram problematiken i sin rapport: “Vad är fortfarande fel med GDPR?” i vilken man bland annat skriver att Europas konkurrenskraft kommer att vara alltmer beroende av hur företagen kan analysera och använda data, och lämnar förslag på åtgärder som syftar till att minska byråkratin och stärka konkurrenskraften, något som man hoppas ska beaktas i EU-kommissionens utvärdering av GDPR år 2024. 

“Att dataskyddsregler finns är i grunden självklart, men utformningen och omfattningen av dataskyddsreglerna kan obefogat försvåra, fördyra och förhindra datahantering.”skriver artikelförfattarna i rapportens inledning, och tillägger: 

“Det är inte helt ovanligt att personuppgiftsskyddet beskrivs som en absolut rättighet, vilket det inte är. I det datadrivna samhället är det av stor vikt att integritetsskyddet på ett korrekt sätt balanseras mot andra rättigheter, så att nyttan och de enorma möjligheter som öppnar sig genom dataanvändning kan realiseras.” 

...en av de största utmaningarna... är att se till så att reglerna inte hindrar eller försvårar möjligheterna att bedriva verksamheten
— 800 dataskyddsombud från rapporten "Dataskyddsarbetet i praktiken" på uppdrag av IMY

Värt att nämna i sammanhanget är att dataskyddsombud på ca 800 verksamheter i Sverige nyligen ansåg att en av de största utmaningarna de står inför i sitt arbete med att implementera och följa dataskyddsförordningen, är att se till så att reglerna inte hindrar eller försvårar möjligheterna att bedriva verksamheten. Detta framgår av rapporten ”Dataskyddsarbetet i praktiken” som bygger på en enkät som gjorts på uppdrag av Integritetsskyddsmyndigheten (IMY).

I slutet av förra året släppte IMY dessutom en rapport, som visade hur svårt det är för myndigheter att hitta GDPR-kompatibla molntjänster

IMY:s undersökning är en del av ett samarbete med Europeiska dataskyddsstyrelsen, EDPB, där 22 nationella dataskyddsmyndigheter i Europa undersökt användningen av molnbaserade tjänster inom offentlig sektor.

“I Sverige ingår svaren från sju statliga myndigheter, som behandlar stora mängder personuppgifter och som samtidigt har erfarenhet av att använda molntjänster, i resultaten.

Samtliga sju deltagande myndigheter uppger att det är en utmaning att hitta molntjänster som är förenliga med GDPR.” skriver Computer Sweden.

Samtliga sju deltagande myndigheter uppger att det är en utmaning att hitta molntjänster som är förenliga med GDPR.
— Computer Sweden

I detta GDPR-cresendo har Outdoormap, liksom många andra företag och organisationer, valt att skynda långsamt, utifrån strategin att inte överila sig, utan hela tiden väga nytta mot olägenhet för såväl kunder som slutanvändare, vilket kortsiktigt har inneburit vissa kompromisser. 

I vår strävan att utveckla en SaaS-tjänst (ett moln- och webbaserat publiceringsverktyg) som ger våra kunder bästa tänkbara förutsättningar att båda administrera och kommunicera det som finns att se och göra inom friluftsliv och naturturism, har vi valt att använda de bästa underleverantörerna som funnits att tillgå utifrån ett närmast globalt utbud.

Resultatet är ett digitalt och tämligen komplext ekosystem av mer eller mindre raffinerade tjänster, varav några fortfarande har sin hemvist (servrar, etc) utanför EU/EES-området (oftast i USA).

Här återfinns tjänster som: 

  • Heroku

  • Netlify

  • Mapbox

  • Google (Elevations, Analytics, Tag Manager)

  • Sentry

  • Imgix

  • Fastly

Alla dessa tjänster tillika underleverantörer (sk underbiträden) är emellertid föremål för grundliga utvärderingar och konsekvensbedömningar, som antingen leder till restriktiv användning, eller utfasning till förmån för alternativa tjänster, i linje med GDPR. 

Vad gäller restriktiv användning, har vi som ett viktigt steg i vår omställning eliminerat överföringen av i princip alla personuppgifter till “tredje land”, bortsett från IP-adresser, som teoretiskt sett kan knytas till en identifierad eller identifierbar fysisk person, utifrån principen att uppgifter som inte enskilt, men som i kombination med varandra, kan medföra att en viss person kan identifieras, också är personuppgifter. Detta gäller främst statiska IP-adresser, men någon mån även dynamiska. 

Här har vi således fortfarande en del kvar att göra för att Naturkartan ska bli 100% GDPR-kompatibel innan årets slut. Men arbetet fortskrider oförtrutet. 

I vår konfrontation med våra underleverantörer har vi förstått att de gör allt för att deras tjänster så snabbt som möjligt ska bli GDPR-kompatibla, för att inte förlora greppet om den europeiska marknaden. Men deras omställning har tagit tid, och kan komma att fortsätta ta lite tid, för att deras tjänster inte samtidigt ska förlora sin spjutspets. 

Eftersom europeiska motsvarigheter inte sällan saknas, försätter det oss i ett prekärt läge, där vi balanserar mellan att vänta in befintliga leverantörers tillvänjning och justeringar enligt GDPR, och att söka efter och implementera europeiska alternativ. 

I skrivande stund använder 160 kommuner, Länsstyrelser, statliga verk, och andra offentliga verksamheter Naturkartan. Vi har hittills haft en bra och löpande dialog med de flesta av er i frågan, och upplever att vår strategi och våra ansträngningar rimmar väl med era förväntningar.

Varmt välkomna att kontakta Outdoormaps dataskyddsombud för mer information, frågor och funderingar, via support@outdoormap.com

Läs Naturkartans integritetspolicy här

Mer information om Dataskyddsförodningen finns att läsa på Intigritetsskyddsmyndightetns (IMY) webbplats.