WatchEn compliance-ansvarlig i en europæisk virksomhed stillede engang sit team et enkelt spørgsmål: “list hvert eneste sted, vores kunders data ender.” Marketingværktøjerne kom på listen. CRM-systemet kom på listen. Oppetidsmonitoren — et gratis amerikansk værktøj, nogen havde tilføjet for år tilbage, som stille loggede IP-adresser og alarm-kontakter til servere i en anden jurisdiktion — kom ikke. Det gør den næsten aldrig. Overvågning glider under radaren, netop fordi den føles for lille til at betyde noget — og det er præcis det, der gør den værd at se nærmere på.
Hvorfor overvågning er et GDPR-spørgsmål
Det er nemt at tænke på en monitor som et værktøj, der kun taler med maskiner. Men en overvågningstjeneste opsamler stille data om mennesker såvel som systemer: de IP-adresser, der registreres ved hvert tjek, e-mailadresser og telefonnumre på dine alarm-kontakter, og nogle gange hele svar-indhold, der tilfældigvis indeholder personoplysninger hentet fra en side.
Så snart personoplysninger er involveret, bliver din overvågningsleverandør en databehandler, der handler på dine vegne — og det fører de velkendte GDPR-pligter med sig. Du skal have et lovligt grundlag for behandlingen, du forventes at minimere, hvad du indsamler, og du skal have en klar databehandleraftale, der siger, hvem der gør hvad med dataene. Intet af det er eksotisk; det er samme standard, du ville lægge på ethvert andet værktøj, der berører personoplysninger.
Hvor dine data ligger
Hvis der er én faktor, der betyder mere end resten, er det placering. Når en leverandør gemmer logs og kontaktdata på servere uden for EU/EØS, stoler du ikke længere bare på dem — du læner dig op ad overførselsmekanismer som standardkontraktbestemmelser og påtager dig den ekstra dokumentation, risikovurdering og usikkerhed, der følger med internationale overførsler. Det er meget besvær for et værktøj, der pinger en URL.
EU-hostet overvågning fjerner spørgsmålet helt ved at holde dataene inden for unionen, hvilket gør hele compliance-historien kortere og lettere at forsvare. WatchControl er bygget i Danmark og hostet i EU, så dine overvågningsdata forlader ikke EU — det er indbygget i designet. Der er ingen overførsel at vurdere, fordi der ingen overførsel er.
Underdatabehandlere og databehandleraftalen
Din leverandør er sjældent den eneste virksomhed involveret. Bed enhver leverandør om en databehandleraftale (DPA) og en aktuel liste over underdatabehandlere — de tredjeparter, de læner sig op ad til hosting, e-mail- eller SMS-levering. Hver underdatabehandler på den liste er endnu et sted, dine data flyder hen, og endnu et led i kæden, du er ansvarlig for.
Det er her, den praktiske forskel viser sig. En kort, EU-baseret liste er noget, du faktisk kan læse, vurdere og forsvare i en revision. En lang, global én — hosting i ét land, e-mail i et andet, SMS i et tredje — er langt sværere at gennemskue, og hver post er et separat overførselsspørgsmål. Kortere og tættere på hjemmet er reelt lettere at leve med.
Vælg GDPR-first overvågning
Du kan gøre alt dette til en kort tjekliste for ethvert værktøj, du vurderer: bekræft hvor data gemmes og behandles; få databehandleraftalen og listen over underdatabehandlere; tjek hvor længe logs og kontaktdata opbevares; minimér hvad du sender ved at holde personoplysninger ude af monitornavne og søgeordstjek; og sørg for, at du kan eksportere og slette data på anmodning.
Genvejen er at vælge et værktøj, hvis standardindstillinger allerede peger den rigtige vej, så compliance ikke er et projekt, du skruer på bagefter. WatchControl er bygget og hostet i EU med en GDPR-tilpasset databehandleraftale og en kort, EU-baseret liste over underdatabehandlere — det privatlivsvenlige valg er også standarden, og du kan starte på en gratis plan med dine data i EU fra det første tjek.