GDPR-efterlevnad avgörs inte av en logga på en sida — den avgörs av strukturen bakom. Här är tio frågor att ställa en molnleverantör innan personuppgifter flyttar in. Svaren skiljer snabbt de förberedda från de förhoppningsfulla.
Jurisdiktion och ägande
- Under vilken jurisdiktion står bolaget — och hela ägarkedjan?
- Finns det ett moderbolag utanför EU som kan omfattas av CLOUD Act eller liknande?
- Äger leverantören hårdvaran, eller hyrs kapaciteten på tredje parts stack?
Data, nycklar och biträden
- Finns ett personuppgiftsbiträdesavtal, och vad står det om underbiträden?
- Var förvaras krypteringsnycklarna, och kan någon utanför EU nå dem?
- Vilka subprocessorer används, och i vilka länder sitter de?
- Sker någon överföring till tredjeland — och i så fall på vilken grund?
Rättigheter och exit
- Hur stöds radering och registerutdrag i praktiken?
- Kan du exportera all data — och hela uppsättningen som kod — utan straffavgift?
- Kan leverantören visa residens och åtkomst i produkten, inte bara påstå det?
Om ett svar tar formen av “lita på oss” istället för “här är beviset”, notera det.
— ur Keplers trust-modell
Kepler är byggt för att kunna svara ja med bevis på var och en av dessa. Vill du testa oss mot din egen lista? Hör av dig.