Mot bakgrund av coronapandemin använder allt fler företag, myndigheter och föreningar digitala mötestjänster som Zoom, Teams, Webex och GoTo Meeting.
Berlins motsvarighet till svenska Datainspektionen (Berliner Beauftragte für Datenschutz und Informationsfreiheit) har nyligen publicerat en checklista för användningen av tjänster för digitala möten och videokonferenser.
Myndigheten rekommenderar följande tillvägagångssätt för verksamheter som vill använda sådana tjänster:
- Undersök om det kan vara tillräckligt att genomföra mötet eller samtalet via telefon i stället för ett digitalt möte eller en videokonferens. Det är enklare att uppnå regelefterlevnad avseende GDPR när man använder sig av telefonsamtal istället för digitala mötestjänster.
- Undersök om ni kan drifta en tjänst för digitala möten i era egna IT-miljöer.
- Undersök om ni kan hitta en tjänsteleverantör som uppfyller era behov och som sitter inom EU/EES eller ett land som har en dataskyddslagstiftning som är likvärdig med GDPR (se listan över länder med adekvat skyddsnivå för personuppgifter på EU-kommissionens webbplats).
- Säkerställ att tjänsteleverantören behandlar personuppgifter i enlighet med GDPR, särskilt att leverantören inte delar personuppgifter med tredje parter inklusive utländska myndigheter.
- Säkerställ att tjänsteleverantören har implementerat lämpliga tekniska och organisatoriska säkerhetsåtgärder.
- Säkerställ att tjänsteleverantören använder kryptering vid överföring av data i tjänsten.
- Om ovanstående granskning leder till positiva resultat, säkerställ att ni ingår i ett personuppgiftsbiträdesavtal med leverantören.
- Säkerställ att leverantören inte använder data om era medarbetare och deras kommunikation för egna ändamål.
- Säkerställ att reglerna för överföring till tredjeländer uppfylls om leverantören använder underleverantörer som placerade utanför EU/ESS.
- Om det inte går att hitta en lämplig leverantör med säte inom EU/EES eller ett land med adekvat skyddsnivå, säkerställ att överföring till tredje länder skyddas av EU-kommissionens standardavtalsklausuler för tredjelandsöverföringar (notera att det inte är tillåtet att ändra klausulerna) och att klausulerna ska kunna verkställas i mottagarlandet.
Enligt tillsynsmyndigheten uppfyller ett flertal av de etablerade leverantörerna för digitala mötestjänster inte kraven i GDPR, däribland Cisco Webex, Google Meet, Goto Meeting, Microsoft Teams, Skype, Skype for Business och Zoom (läs mer om detta här).