EU:s datalag: Vad det betyder för ditt företag

EU:s datalag, som trädde i kraft i januari 2024 och blir tillämplig från september 2025, representerar en av de mest betydande datalagstiftningsåtgärderna sedan GDPR. Medan mycket av den offentliga diskussionen har fokuserat på dess implikationer för IoT-tillverkare och molnbyten, har lagen djupgående konsekvenser för hur europeiska företag väljer och styr sin samarbetsinfrastruktur.

Vad datalagen faktiskt kräver

I kärnan etablerar datalagen regler om vem som kan komma åt och använda data som genereras av anslutna produkter och relaterade tjänster. För företagssamarbetsplattformar är flera bestämmelser särskilt relevanta.

Först etablerar lagen rätten att byta mellan molntjänsteleverantörer utan onödigt dröjsmål, orimliga avgifter eller dataförlust. Detta innebär att organisationer måste kunna extrahera sin data - meddelanden, filer, samtalinspelningar, metadata - från en plattform och migrera den till en annan. Leverantörer som låser in kunder med hjälp av proprietära dataformat eller konstgjorda exportbarriärer kommer att finna sig på fel sida om regleringen.

Sedan introducerar lagen skyddsåtgärder mot olagliga internationella datatransfereringar. Artikel 27 kräver uttryckligen att molntjänsteleverantörer vidtar rimliga tekniska, juridiska och organisatoriska åtgärder för att förhindra att myndigheter får tillgång till icke-personlig data som lagras inom EU, där en sådan tillgång skulle strida mot EU-lagstiftning. Denna bestämmelse behandlar direkt spänningen som skapats av den amerikanska CLOUD-lagen, som tillåter amerikanska myndigheter att begära data från amerikanska företag oavsett var den lagras.

Tredje, lagen ålägger krav på interoperabilitet för datatjänster, vilket skapar förutsättningar för kunder att använda flera tjänster i kombination utan konstgjorda hinder.

Varför detta är viktigt för samarbetsverktyg

Tänk på den typiska företagssamarbetsstacken: videokonferenser, meddelanden, fildelning och alltmer, AI-drivna funktioner som transkription och sammanfattning. Dessa verktyg bearbetar enorma mängder känslig data - strategiska diskussioner, personalärenden, finansiella överläggningar, juridisk rådgivning, immateriella rättigheter.

Enligt datalagen bär organisationer ansvaret för att säkerställa att deras samarbetsleverantörer kan demonstrera efterlevnad av dataskyddsåtgärderna. Detta är mer än att bocka av en ruta i ett leverantörs-utvärderingsformulär. Det kräver förståelse för leverantörens juridiska jurisdiktion, deras tekniska arkitektur för dataisolering och deras förmåga att motstå utländska myndigheters åtkomstbegäranden.

För många europeiska organisationer skapar detta en obekväm uppgörelse. De dominerande samarbetsplattformarna drivs av USA-baserade företag. Oavsett var de placerar sina datacenter, förblir dessa företag föremål för CLOUD-lagen och andra amerikanska lagstiftningsinstrument som kan tvinga fram avslöjanden.

Den praktiska efterlevnadschecklistan

Baserat på vår tolkning av lagen och samtal med efterlevnadsteam över hela europeiska företag, är detta vad organisationer bör utvärdera i sina samarbetsverktyg.

Dataportabilitet. Kan du exportera all din data - meddelanden, filer, metadata, användarkataloger, samtalinspelningar - i standardiserade, dokumenterade format? Finns det en API för automatiserad extraktion? Vad händer med din data om du avslutar avtalet?

Juridisk tydlighet. Var är leverantören registrerad? Vilken juridisk jurisdiktion styr tjänsten? Kan en utländsk myndighet tvinga leverantören att lämna ut din data? Finns det en dotterbolagsstruktur som kan skapa indirekt utländsk jurisdiktion?

Tekniska skyddsåtgärder. Erbjuder plattformen end-to-end-kryptering? Om så är fallet, vem har nycklarna? Kan du använda dina egna krypteringsnycklar? Är krypteringsarkitekturen dokumenterad och granskbar?

Infrastruktursuveränitet. Var lagras data fysiskt? Vem driver den underliggande molninfrastrukturen? Är molntjänsteleverantören själv föremål för utländsk jurisdiktion?

Bytestkostnader. Vad skulle det kosta att migrera till en alternativ plattform? Finns det kontraktspenalties? Stöder leverantören standardprotokoll och format?

Interoperabilitet. Kan plattformen integreras med andra verktyg i din stack utan proprietär inlåsning? Stöder den öppna standarder?

Hur Mandraki tillgodoser dessa krav

Vi byggde Mandraki med datalagens principer i åtanke från början, inte som en efterkonstruktion.

All data lagras på en europeiskt ägd hyperscaler som enbart omfattas av EU:s jurisdiktion. Mandraki är ett europeiskt företag utan amerikansk moder- eller dotterbolag. Vår tre-lagers krypteringsarkitektur, inklusive stöd för Bring Your Own Key, säkerställer att organisationer behåller kryptografisk kontroll över sin data. Fullständig dataexport är tillgänglig via dokumenterade API:er. Och vår federation mellan organisationer är byggd på öppna, dokumenterade standarder.

Vi hävdar inte att efterlevnad någonsin är enkel. Regleringslandskapet är komplext och föränderligt. Men vi tror att att börja med rätt arkitektoniska och juridiska grunder gör efterlevnad uppnåelig snarare än önskvärd.

Blickar framåt

Datalagen är en del av en bredare europeisk digital strategi som omfattar AI-lagen, den digitala marknadsakten, den digitala tjänsteakten, NIS2 och DORA. Tillsammans omformar dessa regleringar de förväntningar som ställs på teknikutvecklare som verkar i Europa.

För europeiska organisationer är budskapet tydligt: de verktyg du använder för dagligt samarbete är inte längre bara ett IT-inköpsbeslut. De är ett efterlevnadsbeslut, ett riskhanteringsbeslut och alltmer, ett strategiskt beslut om digital autonomi.

Den goda nyheten är att den europeiska teknikekosystemet mognar snabbt. Suverän molninfrastruktur är tillgänglig. Efterlevande samarbetsverktyg existerar. Vägen framåt kräver inte att man väntar på att amerikanska leverantörer anpassar sig till europeiska regler. Den kräver att man väljer europeiska lösningar som byggdes för dem från början.