x
Phone
x

Boka en demo av Curoflow

Curoflow digital vårdplattform är valet för GDPR-efterlevnad

Att leva upp till GDPR är inte ett val man står inför – det är ett måste. Vi vet hur svårt det kan vara och har därför lagt fokus på att utveckla Curoflow i enlighet med GDPR, utan tredjepartsleverantörer utanför EU. Låt oss berätta vad som är viktigt och hur Curoflow troligen är det enda enkla, lagliga alternativet i hanteringen av persondata och personuppgifter.

I korthet: GDPR - problem och lösning

Schrems II-domen och problemet med amerikanska molntjänster

Den 16 juli 2020 kom den uppmärksammade Schrems II-domen i ärende C-311/18, i vilket den österrikiske privatpersonen Max Schrems hade anmält Facebook p.g.a att företaget överförde hans personuppgifter till USA. EU-domstolen fastslog att detta bryter mot GDPR då persondata i USA inte har ett tillräckligt skydd mot landets underrättelseverksamhet. Den här domen medförde att amerikanska molntjänster nu generellt anses strida mot GDPR.

Curoflow är valet för GDPR-efterlevnad

Curoflows digitala molntjänster behandlar och lagrar personuppgifter på svenska servrar utan underleverantörer som överför er data utanför EU. Curoflow är således inte beroende av amerikanska underleverantörer såsom Microsoft, Zendesk, Zoom, Twilio och AWS, vilket de flesta andra alternativ på marknaden är. Vill ni kunna lita på att all data lagras och hanteras i enlighet med GDPR, så är Curoflow det enkla, självklara valet.

Curoflow Digital Telemedicine Platform Icon

I mer detalj

GDPR problematiserar användandet av amerikanska molntjänster

I Schrems-II domen fastslog EU-domstolen att det s.k. Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. EU-domstolen ansåg även att överföring av personuppgifter genom standardavtalsklausuler endast går att tillämpa om skyddsnivån i mottagarlandet är ”väsentligen likvärdig med den som inom EU garanteras genom den allmänna dataskyddsförordningen”. Detta anses inte gälla för USA där Facebook och många andra stora IT-bolag omfattas av Foreign Intelligence Surveillance Act (FISA). FISA är en lag som gör att amerikanska myndigheter har rätt att inhämta personuppgifter av EU-medborgare hos dessa bolag, vilket strider mot GDPR.

18 juni 2021 publicerade den europeiska dataskyddsstyrelsen EDPD (European Data Protection Board) rekommendationer som kompletterar Schrems II-domen. Dessa ger utrymme för personuppgiftsansvariga i EU att ta hänsyn till den praktiska tillämpningen och bedöma vilka risker det finns för personuppgifterna i mottagarlandet. Det krävs emellertid att man tydligt, genom dokumentation och objektiva ställningstaganden, visar att mottagarlandets lagstiftning inte i praktiken tillämpas på ett problematiskt sätt. Man kan tex. påvisa att amerikanska myndigheter i praktiken aldrig har begärt åtkomst till den aktuella sortens personuppgifter, men det måste kompletteras i en helhetsbedömning baserad på även andra källor.

Svenska organisationer byter till Europeiska molntjänster

Trots de här riktlinjerna är det många organisationer i EU som fortfarande använder amerikanska molntjänster men p.g.a. risken för dataläckage till amerikanska myndigheter går utvecklingen mot att byta till europeiska alternativ, som följande exempel visar:

  • Många svenska myndigheter såsom Arbetsförmedlingen, Skatteverket, Lantmäteriet, Trafikverket och Försäkringskassan tittar på alternativa lösningar till amerikanska molntjänster såsom Microsoft Teams eller Zoom.Se mer:
    Molntjänster hos Lantmäteriet (voister.se)
    Myndigheter dissar Teams (svt.se)
  • Stockholms stad kommer inte att flytta till molnplattformen Microsoft 365.Se mer:
    Stockholm nobbar Microsoft (idg.se)
  • I Tyskland har en av landets dataskyddsmyndigheter beslutat att en tysk förläggares användning av Mailchimp står i strid med GDPR. Mailchimp är ett populärt program för nyhetsbrev och e-postmarknadsföring.

Ansvaret är ert

Om ni väljer en leverantör som använder tredjepartslösningar utanför EU/EES måste de, och framför allt ni som personuppgiftsansvariga, försäkra er om att GDPR efterlevs. Ni behöver enskilt och uttryckligt samtycke från varje användare/patient som använder er digitala vårdplattform och det räcker inte med ett generellt godkännande av en integritetspolicy. Utöver detta, krävs en omfattande utredning om riskerna för hur personuppgifterna kan komma att behandlas i land utanför EU, (t.ex. USA) och om GDPR efterlevs i varje process. En sådan utredning är nästintill omöjlig att utföra utan en enorm insats, i både kronor och tid räknat. Sker datakommunikation eller video-samtal genom amerikanska underleverantörer behöver ni t.ex. försäkra er om att datan inte kan nås av amerikanska myndigheter och att datan kan raderas överallt om er patient nyttjar sin rätt att ”bli glömd”. Ansvaret faller på er som personuppgiftsansvariga.

Curoflow lagrar personuppgifter på svenska servrar

Curoflow är utvecklat i Sverige och behandlar all data på svenska dedikerade servrar utan underleverantörer som vare sig direkt eller indirekt hanterar data utanför EU. Curoflow är således inte beroende av underleverantörer såsom Microsoft, Zendesk, Zoom, Twilio och AWS, vilket de flesta andra alternativ på marknaden är. Lösningarna vi har för SMS, SITHS, BankID, kort- och swishbetalning, kommer samtliga från svenska bolag och vi kontrollerar att deras integritetspolicys (ink. underbiträden) intygar om att de lagrar och hanterar datan på servrar i Sverige.

Curoflow är det säkra valet för er patientkommunikation

GDPR är ett komplicerat regelverk som kräver mycket resurser att sätta sig in i. År 2023 är detta dock en nödvändighet och särskilt gällande den känsliga information som delas mellan vård och patienter. För att inte riskera bryta mot GDPRs föränderliga riktlinjer rekommenderar vi att avstå från amerikanska molntjänster och gå på det säkra alternativet. Vill ni kunna lita på att all data lagras och hanteras i enlighet med GDPR, så är Curoflow det enkla, självklara valet. Eftersom vi riktar oss främst mot vårdsektorn så är vår plattform i sin helhet CE-märkt enligt MDR (EU Medical Device Regulation) vilket ger en extra trygghet i hur vi hanterar vårt kvalitetsledningssystem.