Datakryptering är inte längre valfritt. Skador från cyberbrottslighet förväntas drabba $10,5 biljoner år 2025 och böter för bristande efterlevnad som når miljontals dollarAtt förstå krypteringslagar är avgörande för företag. Den här guiden täcker sju viktiga regler som formar globalt dataskydd:

• GDPR (EU)Uppmuntrar kryptering av personuppgifter med böter på upp till 20 miljoner euro eller 41 miljarder pund i årliga intäkter.
• CPRA (Kalifornien, USA)Kräver kryptering; intrång i okrypterad data möjliggör stämningar.
• LGPD (Brasilien)Kräver skyddsåtgärder som kryptering; straff på upp till 2% av intäkterna.
• PIPEDA (Kanada)Rekommenderar kryptering för att skydda personuppgifter.
• DPDPA (Indien)Kräver "rimliga säkerhetsrutiner", inklusive kryptering.
• PIPL (Kina)Kräver myndighetsgodkänd kryptering för data inom sina gränser.
• DORA (EU:s finanssektor)Strikta krypteringsstandarder för finansiella enheter, som täcker data i vila, under överföring och under användning.

Snabb jämförelse:

Lag	Jurisdiktion	Krypteringsmandat	Maxstraff
GDPR	EU	Rekommenderas starkt	20 miljoner euro eller 41 TP3T intäkter
CPRA	Kalifornien, USA	Krävs för intrångsskydd	$7 500/överträdelse
LGPD	Brasilien	Tekniska säkerhetsåtgärder som krävs	2% av intäkterna
PIPEDA	kanada	Uppmuntras, inte obligatoriskt	$100 000 CAD/överträdelse
DPDPA	Indien	"Rimliga skyddsåtgärder"	₹250 Cr eller 4% omsättning
PIPL	Kina	Obligatorisk godkänd kryptering	Intäkter på 50 miljoner yen eller 51 TP3T
DORA	EU (Finanssektorn)	Obligatorisk för finansiella uppgifter	2% av den årliga omsättningen

Kryptering skyddar företag från intrång, böter och skador på sitt rykte. Läs vidare för detaljerad insikt i dessa lagar och hur du följer dem.

9 dataskyddsföreskrifter du behöver känna till

1. Allmän dataskyddsförordning (GDPR) – Europeiska unionen

GDPR, som trädde i kraft i maj 2018, har omformat hur personuppgifter hanteras globalt.

Jurisdiktion och geografiskt omfång

GDPR är inte begränsad till Europa – den har global räckvidd. Alla organisationer, oavsett var de är baserade, måste följa reglerna om de behandlar personuppgifter från EU-invånare. Till exempel omfattas USA-baserade företag som betjänar EU-kunder av dessa regler. Förordningen skiljer ansvaret mellan personuppgiftsansvariga (vem som bestämmer hur och varför uppgifter behandlas) och databehandlare (som hanterar uppgifterna för registeransvarigas räkning). Denna distinktion är särskilt relevant för webbhotellleverantörer och företag som använder samlokaliseringstjänster.

Krypteringskrav (obligatoriska eller uppmuntrade)

Även om kryptering inte uttryckligen föreskrivs i GDPR rekommenderas det starkt som en viktig teknisk skyddsåtgärd. Artikel 32 kräver lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, och kryptering föreslås ofta som en av de mest effektiva metoderna. Detta gäller både data i vila och data under överföringMyndigheter som Storbritanniens informationskommissionärskontor rekommenderar att man använder krypteringslösningar som uppfyller standarder som FIPS 140-2 och FIPS 197.

En stor fördel med kryptering är dess inverkan på anmälningar om dataintrång. Organisationer måste rapportera dataintrång inom 72 timmar enligt GDPR. Men om krypterad data komprometteras och blir oläslig för angripare kan detta krav upphävas.

Tillämplighet på företagslagring

För företag som hanterar data i olika lagringsmiljöer kan efterlevnad av GDPR vara en utmaning. Förordningen gäller personuppgifter som lagras på dedikerade servrar, molnplattformar, eller hybridinfrastrukturerFöretag behöver klassificera data baserat på dess känslighet för att fastställa rätt krypteringsåtgärder. Särskild försiktighet krävs vid gränsöverskridande dataöverföringar, eftersom GDPR tillämpar strikta regler för att flytta personuppgifter utanför EU/EES utan lämpliga skyddsåtgärder. Kryptering är avgörande för att säkerställa säkra internationella dataöverföringar. Hostingleverantörer, inklusive sådana som Serverion, måste anpassa sina krypteringsrutiner till GDPR-standarder för att stödja sina kunders efterlevnadsarbete.

Påföljder för bristande efterlevnad

GDPR inför ett nivåindelat sanktionssystem som gör bristande efterlevnad ekonomiskt smärtsamt. Mindre överträdelser kan resultera i böter på upp till 14–11,8 miljoner pund eller 21 TP³ av den globala årliga intäkten, beroende på vilket som är högst. Allvarliga överträdelser kan leda till böter på upp till 14–23,6 miljoner pund eller 41 TP³ av den globala intäkten. Nyligen inträffade fall illustrerar förordningens stränghet. År 2023 bötfälldes Meta med 14–1,2 miljarder pund av den irländska dataskyddskommissionen för att inte ha skyddat dataöverföringar. På liknande sätt dömdes H&M till böter på 14–1,8 miljoner pund år 2020 för olaglig övervakning av anställda.

Bristande efterlevnad kan leda till mer än bara böter. Organisationer kan drabbas av operativa begränsningar, såsom order om att stoppa databehandling, och kan också bli ansvariga för skadestånd som begärs av berörda individer.

"Den allmänna dataskyddsförordningen (GDPR) är den strängaste integritets- och säkerhetslagen i världen." – GDPR.EU

För webbhotell- och infrastrukturleverantörer betonar dessa påföljder behovet av robusta krypteringsstrategier för att skydda deras verksamhet och säkerställa att deras kunder uppfyller efterlevnadskrav.

Härnäst ska vi utforska California Privacy Rights Act och hur den skiljer sig i sitt tillvägagångssätt för dataskydd för företag.

2. Kaliforniens lag om integritetsskydd (CPRA) – USA

Från och med den 1 januari 2023 stärker CPRA California Consumer Privacy Act (CCPA) och inför strängare regler för företag som hanterar personuppgifter som tillhör invånare i Kalifornien.

Jurisdiktion och geografiskt omfång

CPRA riktar sig specifikt vinstdrivande företag som samlar in personuppgifter från invånare i Kalifornien och uppfyller vissa kriterier. Dessa inkluderar:

• Företag med en årlig bruttointäkt som överstiger $25 miljoner.
• Företag som köper, säljer eller delar personuppgifter om 100 000 eller mer Invånare, hushåll eller enheter i Kalifornien.
• Enheter som tjänar pengar 50% eller mer av deras årliga intäkter från försäljning eller delning av kaliforniska konsumenters personuppgifter.

Till skillnad från GDPR, som har global räckvidd, fokuserar CPRA enbart på företag som betjänar invånare i Kalifornien, oavsett deras fysiska plats. En viktig del av CPRA är dess dataminimeringsprincipen, vilket begränsar datainsamling och lagring till vad som är strikt nödvändigt för affärsverksamheten.

Krypteringskrav (obligatoriska eller uppmuntrade)

Avsnitt 1798.150 i CPRA kräver att företag implementerar starka säkerhetsåtgärder för att skydda personlig information. Om okrypterad data bryts har konsumenter rätt att väcka civilrättsliga stämningar. Förordningen anger:

"Varje konsument vars icke-krypterade och icke-redigerade personuppgifter ... utsätts för obehörig åtkomst och utmätning, stöld eller avslöjande till följd av företagets brott mot skyldigheten att implementera och upprätthålla rimliga säkerhetsrutiner och praxis ... kan väcka civilrättslig talan."

Kaliforniens lagar 128-bitars kryptering som minimistandard för vissa system, där kryptografiska moduler behöver certifieras enligt FIPS 140-2 standarder. CPRA kräver kryptering för både data under överföring och data i vila, och företag uppmuntras att lagra krypteringsnycklar separat från den krypterade informationen. Dessa åtgärder är avgörande för att säkerställa efterlevnad och skydda företagens lagringssystem.

Tillämplighet på företagslagring

Företagslagringssystem måste uppfylla CPRA:s stränga krav. Företag förväntas prestera dataskyddsbedömningar för att identifiera integritetsrisker och implementera nödvändiga skyddsåtgärder i alla lagringsmiljöer.

Lagen kräver också att företag avidentifierar eller aggregerar personlig information, vilket påverkar hur data lagras och hanteras. Organisationer som använder webbhotellstjänster måste säkerställa att deras leverantörer är CPRA-kompatibla, vilket skapar en ansvarskedja genom hela databehandlingens livscykel. Till exempel måste företag som förlitar sig på Serverions tjänster säkerställa att krypteringsstandarder upprätthålls i alla konfigurationer.

Viktiga delar av efterlevnaden inkluderar regelbundna säkerhetsrevisioner och strikta åtkomstkontroller. Dessutom ger CPRA Kaliforniens invånare rätten att välja bort automatiserat beslutsfattande, vilket kräver system som kan identifiera och separera data som används för sådana ändamål.

Påföljder för bristande efterlevnad

Bristande efterlevnad av CPRA kan leda till böter och privata stämningar. Konsumenter som drabbas av dataintrång orsakade av otillräckliga säkerhetsåtgärder kan kräva skadestånd från $107 till $799 per incident.

Som Alfred Brunetti, rektor på Porzio, Bromberg och Newman PC, förklarar:

"Ett företag, en tjänsteleverantör eller annan person som bryter mot CCPA i dess lydelse enligt CPRA kan dömas till ett förbudsföreläggande och en böter på högst 1 4 2 500 pund per överträdelse och högst 1 4 7 500 pund per avsiktlig överträdelse."

Nyligen genomförda åtgärder belyser vikten av att följa dessa regler. Till exempel betalade Sephora 141,2 miljoner pund sterling år 2022 för att lösa CCPA-överträdelser, och år 2024 fick DoorDash böter på 1375 000 pund sterling för att ha delat kunddata utan uttryckligt samtycke. Det är värt att notera att CPRA avskaffade den 30-dagars åtgärdsperioden som tidigare var tillåten enligt CCPA, vilket innebär att företag kan drabbas av omedelbara påföljder om överträdelser inte åtgärdas omedelbart.

Därefter kommer vi att undersöka Brasiliens Lei Geral de Proteção de Dados för att utforska hur kryptering närmar sig i Latinamerika.

3. Lei Geral de Proteção de Dados (LGPD) – Brasilien

Brasiliens Lei Geral de Proteção de Dados (LGPD) lägger upp stränga regler, starkt inspirerade av EU:s GDPR, för att skydda personuppgifter.

Jurisdiktion och geografiskt omfång

LGPD har en bred räckvidd, som gäller organisationer var som helst i världen om de hanterar personuppgifter för individer i Brasilien. Detta inkluderar databehandling av individer eller enheter – oavsett om de är offentliga eller privata. Om ditt företag har kunder, anställda, entreprenörer eller partners i Brasilien är efterlevnad av LGPD ett måste.

Lagen gäller för:

• Databehandlingsaktiviteter som utförs i Brasilien.
• Data insamlade i Brasilien.
• Personuppgifter för individer i Brasilien, oavsett var databehandlaren finns.

Krypteringskrav (obligatoriska eller uppmuntrade)

Även om LGPD inte uttryckligen kräver kryptering, betonar den behovet av rimliga säkerhetsåtgärder för att skydda personuppgifter. Artikel 46 anger att organisationer måste vidta tekniska, säkerhetsmässiga och administrativa skyddsåtgärder för att förhindra obehörig åtkomst. Data som är helt anonymiserade eller krypterade bortom återställningsbarhet omfattas inte av dessa bestämmelser.

För att följa dessa krav bör organisationer implementera en blandning av strategier, såsom:

• Säkerhetspolicyer och incidenthanteringsplaner.
• Medvetenhetsutbildning för anställda.
• Åtkomstkontroller och andra tekniska åtgärder.

För företag som använder hostinglösningar, som de från Serverion, är det avgörande att upprätthålla starka krypteringsprotokoll för att uppfylla LGPD-standarder. Dessa åtgärder är viktiga för att skydda data över olika lagringsplattformar.

Tillämplighet på företagslagring

Företagslagringssystem måste följa LGPD:s säkerhetsriktlinjer. Det innebär att företag måste dokumentera hur data samlas in, används, lagras och delas. De måste också utvärdera internationella dataöverföringar för att säkerställa att de följer lagen.

Viktiga steg inkluderar:

• Upprättande av ramverk för dataskydd.
• Genomföra regelbundna konsekvensbedömningar för dataskydd (DPIA).
• Utse ett dataskyddsombud (DPO) för att övervaka efterlevnadsarbetet.
• Förbereda hanteringsplaner för dataintrång.
• Utbilda anställda i bästa praxis för dataskydd.

Tjänsteleverantörer måste också uppfylla LGPD-kompatibla säkerhetsstandarder genom hela databehandlingskedjan.

Påföljder för bristande efterlevnad

Underlåtenhet att följa LGPD kan leda till höga böter – upp till 21 TP3T av ett företags nettointäkter i Brasilien, med ett maximum på 1 TP450 miljoner rand per överträdelse. Ytterligare påföljder inkluderar:

• Dagsböter för olösta ärenden.
• Offentliggörande av överträdelser.
• Blockering eller radering av personuppgifter.
• Avstängning eller förbud mot databehandling.

Nyligen genomförda fall belyser lagens gränser. Till exempel, den 6 juli 2023, bötfälldes Telekall Infoservice med 14 400 BRL (ungefär 1 400 BRL) för flera överträdelser, inklusive att inte ha utsett ett dataskyddsombud och saknat en korrekt rättslig grund för databehandling. På liknande sätt dömdes Santa Catarina State Department of Health i oktober 2023 till påföljder för problem som bristande säkerhetsåtgärder och försenad incidentrapportering.

Utöver ekonomiska påföljder kan bristande efterlevnad leda till stämningar från berörda individer, skada ett företags rykte och till och med förlust av databehandlingsrättigheter. För företag som är verksamma i Brasilien handlar det inte bara om att undvika böter att uppfylla LGPD-kraven – det är avgörande för att upprätthålla förtroende och driftskontinuitet.

Härnäst ska vi titta på hur Kanadas PIPEDA hanterar liknande utmaningar inom dataskydd.

4. Lagen om skydd av personuppgifter och elektroniska dokument (PIPEDA) – Kanada

Kanadas Lagen om skydd av personuppgifter och elektroniska dokument (PIPEDA) anger regler för hur privata organisationer hanterar personuppgifter. Byggt på principer om rättvis information syftar det till att skydda individuell integritet samtidigt som det stöder effektiv affärsverksamhet.

Jurisdiktion och geografiskt omfång

PIPEDA gäller företag som är verksamma inom Kanada och som hanterar personuppgifter i transaktioner mellan provinsiella eller internationella områden. Det styr privata organisationer över hela landet och inkluderar personuppgifter för anställda i federalt reglerade branscher. Om ditt företag behandlar data som korsar provinsiella eller internationella gränser är efterlevnad av PIPEDA ett måste.

Krypteringskrav (obligatoriska eller uppmuntrade)

PIPEDA föreskriver inte specifika säkerhetstekniker men uppmuntrar starkt organisationer att implementera skyddsåtgärder för att skydda personlig information. Princip 7 (Säkerhetsåtgärder)Företag är skyldiga att skydda personuppgifter mot risker som förlust, stöld eller obehörig åtkomst. Kryptering är en av de rekommenderade åtgärderna för att skydda känslig information under lagring och överföring. Det är dock bara en pusselbit. En omfattande säkerhetsstrategi bör också inkludera verktyg som starka lösenord, brandväggar och regelbundna uppdateringar, i kombination med fysiska och organisatoriska kontroller.

Valet av skyddsåtgärder beror på faktorer som datakänsligheten, dess volym, hur den distribueras, lagringsformatet och de potentiella riskerna. För företag som använder hostinglösningar som Serverion kan implementering av robust kryptering i hela databehandlingsverksamheten bidra till att uppfylla PIPEDAs flexibla säkerhetsförväntningar.

Regelbundna granskningar av säkerhetsprotokoll är avgörande för att upprätthålla ett effektivt skydd. Dessa åtgärder bör integreras sömlöst i ett bredare ramverk för integritetshantering för att säkerställa att företagslagringssystem uppfyller efterlevnadsstandarder.

Tillämplighet på företagslagring

För företag är det inte förhandlingsbart att anpassa lagringssystem till PIPEDAs integritetsprinciper. Detta inkluderar att utveckla ett integritetshanteringsprogram, tydligt dokumentera syftena med databehandling och att tillämpa strikta åtkomstkontroller. Konsekvensbedömningar för integritet (PIA) är ett avgörande steg för att utvärdera hur affärsverksamheten påverkar individuell integritet. Andra viktiga åtgärder inkluderar att fastställa tydliga lagringsperioder för personuppgifter och utbilda anställda i bästa praxis för integritet.

"En organisation ska göra specifik information om sina policyer och rutiner gällande hantering av personuppgifter lättillgänglig för individer." – PIPEDA avsnitt 4.8.1

Organisationer måste också etablera strikta rutiner för att övervaka åtkomstmönster och genomföra regelbundna granskningar för att upptäcka obehörig aktivitet. Att hantera integritetsklagomål effektivt och säkerställa riktigheten av personlig information är lika viktigt för att upprätthålla efterlevnaden.

Påföljder för bristande efterlevnad

Underlåtenhet att följa PIPEDA kan leda till allvarliga konsekvenser, både ekonomiska och anseendemässiga. De ekonomiska påföljderna kan uppgå till 1 TP4 100 000 CAD per överträdelse, och fall kan till och med hänskjutas till Kanadas justitieminister för vidare rättsliga åtgärder. Utöver böter kan felaktig hantering av personuppgifter allvarligt skada ett företags rykte, särskilt eftersom 92% av allmänheten har uttryckt oro över hur deras information hanteras.

PIPEDA kräver också att organisationer rapporterar dataintrång som utgör en verklig risk för betydande skada. Sådana incidenter måste rapporteras till Kanadas integritetskommissionär, och berörda personer måste underrättas vid behov. Det är avgörande för effektiv planering av incidenter att föra detaljerade register över alla intrång.

Dessa krav belyser vikten av starka efterlevnadsåtgärder för företag som är verksamma på eller betjänar den kanadensiska marknaden. Kryptering, tillsammans med andra skyddsåtgärder, spelar en avgörande roll för att säkerställa att företagslagringssystem uppfyller PIPEDA:s standarder.

5. Lagen om skydd av digitala personuppgifter (DPDPA) – Indien

Indiens Lagen om skydd av digitala personuppgifter (DPDPA) fastställer tydliga riktlinjer för hantering av personuppgifter samtidigt som starka integritetsskydd betonas.

Jurisdiktion och geografiskt omfång

DPDPA gäller alla enheter som hanterar personuppgifter i Indien, oavsett om de är inhemska eller internationella. Den reglerar behandlingen av personuppgifter som tillhör indiska invånare och även utländska invånare när deras uppgifter behandlas i Indien enligt avtal med utländska enheter. I huvudsak, om ditt företag är verksamt i Indien eller behandlar uppgifter om indiska invånare, är efterlevnad obligatorisk.

Lagen har ett territoriellt tillvägagångssätt, vilket innebär att företag baserade utanför Indien också måste följa reglerna om de behandlar personuppgifter om individer inom Indiens gränser. Denna extraterritoriella räckvidd gör det avgörande för globala företag som betjänar indiska kunder eller upprätthåller partnerskap i regionen att prioritera efterlevnad. Kryptering och andra säkerhetsåtgärder, som beskrivs nedan, spelar en nyckelroll för att uppfylla dessa krav.

Krypteringskrav

DPDPA-mandaten "rimliga säkerhetsåtgärder" för att skydda personuppgifter. Dessa inkluderar kryptering, obfuskering, maskering eller användning av virtuella tokens som grundläggande åtgärder. Organisationer måste implementera dessa tekniska och organisatoriska skyddsåtgärder för att säkerställa flera säkerhetslager för känsliga uppgifter.

Detaljerade åtkomstkontroller med regelbundna logggranskningar krävs också. Dessutom måste företag upprätthålla säkerhetskopior av data för att säkerställa kontinuitet vid dataförlust eller systemavbrott. För företag som använder företagshostinglösningar, robust kryptering överensstämmer med DPDPA:s strikta krav. Organisationer är skyldiga att behålla data och åtkomstloggar i minst ett år för att underlätta upptäckt, utredning och förebyggande av dataintrång.

Tillämplighet på företagslagring

Företagslagringssystem måste följa DPDPA:s ramverk genom att klassificera personuppgifter och definiera deras behandlingskrav. Denna klassificering är avgörande för att bygga effektiva efterlevnadsstrategier.

Företag måste också upprätta tydliga avtal med databehandlare, vilket säkerställer att säkerhetsåtgärder och skyldigheter upprätthålls genom hela bearbetningskedjan. Dessa avtal bör innehålla specifika ansvarsområden och skyddsåtgärder som speglar den primära dataförvaltarens. Formella databehandlaravtal är ett lagkrav enligt DPDPA.

”Företag bör börja anta proaktiva efterlevnadsstrategier genom att investera i integritetsfrämjande tekniker, genomföra riskbedömningar för regulatoriska åtgärder och implementera användarcentrerade datastyrningsmodeller.” – Gaurav Bhalla, partner, Ahlawat & Associates

Processer för incidenthantering är en annan viktig del. Organisationer måste vara beredda att meddela Indiens dataskyddsnämnd (DPBI) och berörda individer i händelse av ett intrång. Ett intrång, enligt definitionen i DPDPA, inkluderar all obehörig åtkomst, oavsiktligt avslöjande, missbruk, ändring, förstörelse eller förlust av personuppgifter som äventyrar deras konfidentialitet, integritet eller tillgänglighet. Dessa krav överensstämmer med bredare företagsstrategier för efterlevnad.

Påföljder för bristande efterlevnad

De ekonomiska påföljderna för bristande efterlevnad är höga, med böter på upp till ₹250 crore (cirka 1TP430 miljoner) eller 41TP30 av den globala omsättningenDessa påföljder understryker vikten av att följa lagen och implementera robusta säkerhetsåtgärder.

Utöver böter kan bristande efterlevnad leda till skador på anseendet och förlust av kundernas förtroende på den indiska marknaden. För att minska dessa risker bör företag vidta en heltäckande strategi, inklusive att utse en Dataskyddsombud (DPO) baserad i Indien för att fungera som kontaktperson för myndigheter. Automatiserade system för hotdetektering och mallar för intrångsmeddelanden kan också bidra till att säkerställa snabba svar på incidenter.

Regelbundna sårbarhetsbedömningar och riskbaserade tekniska och organisatoriska åtgärder är avgörande. Företag måste också utvärdera potentiella begränsningar för gränsöverskridande dataöverföringar och överväga alternativ som lokal dataspegling eller lagring för att förbli helt efterlevande. Att förstå och hantera dessa krav är avgörande för att anpassa företagslagringssystem till både lokala och globala dataskyddsstandarder.

sbb-itb-59e1987

6. Lag om skydd av personuppgifter (PIPL) – Kina

Kinas lag om skydd av personuppgifter (PIPL) tillämpar strikta regler för dataskydd och kryptering, vilket sätter en hög ribba för efterlevnad globalt.

Jurisdiktion och geografiskt omfång

PIPL gäller alla organisationer som hanterar personuppgifter om individer i Kina. Dess räckvidd sträcker sig bortom Kinas gränser och påverkar både inhemska och internationella företag. Om ett företag samlar in, lagrar, använder eller behandlar data som tillhör individer i Kina – även utan fysisk närvaro i landet – måste det följa reglerna. Detta inkluderar företag som tillhandahåller produkter eller tjänster till kinesiska användare eller analyserar deras beteenden.

När det gäller gränsöverskridande dataöverföringar inför lagen hårda restriktioner. Företag måste se till att alla utländska mottagare av uppgifterna följer skyddsstandarder som motsvarar de i PIPL. Dessutom är företag skyldiga att utse en inhemsk representant i Kina för att övervaka efterlevnaden och hantera eventuella juridiska skyldigheter.

Krypteringskrav

Kryptering är en hörnsten i PIPL:s tekniska säkerhetsåtgärder. Organisationer måste följa Regler för kommersiell kryptering, som kräver användning av statligt godkända krypteringsalgoritmer. Vanliga krypteringsstandarder som AES är inte tillåtna om de inte specifikt certifierats av kinesiska myndigheter. Dessutom måste all krypterad känslig data och krypteringsnycklar lagras inom Kinas gränser. För multinationella företag skapar detta betydande hinder, eftersom de måste anpassa sig till lokaliserade krypteringsalgoritmer och nyckelhanteringssystem.

Tillämplighet på företagslagring

PIPL anger också tydliga regler för lagring av företagsdata i Kina. Personlig information måste i allmänhet stanna inom landet om inte strikta villkor för gränsöverskridande överföringar är uppfyllda. För att vara på den försiktiga sidan klassificerar företag ofta osäkra data som "viktiga data", vilket utlöser ytterligare säkerhetsprotokoll, inklusive avancerade krypteringskrav.

För att följa reglerna måste företag implementera åtgärder som kryptering och avidentifiering för att skydda personlig information från intrång, stöld eller oavsiktlig radering. Rutinmässiga efterlevnadskontroller är viktiga, inklusive granskningar av krypteringsmetoder, verifiering av godkända algoritmer och säkerställande av krypteringsnycklar inom kinesisk jurisdiktion. Med tanke på komplexiteten i dessa krav är det avgörande att samarbeta med lokala juridiska experter och säkerhetsexperter för att navigera efterlevnadsutmaningar.

Påföljder för bristande efterlevnad

Straffen för att bryta mot PIPL är höga. Kinas cyberspaceadministration (CAC) upprätthåller lagen och kan utdöma betydande böter eller andra sanktioner. Mindre överträdelser kan resultera i böter på upp till 1 miljon yuan (ungefär 1 400 000–1 500 000 yuan), där ansvariga personer kan riskera böter mellan 10 000 och 100 000 yuan (1 400 000–1 400 000 yuan). Allvarliga överträdelser kan leda till böter på upp till 50 miljoner yuan (ungefär 1 400 000 yuan) eller 51 300 000 yuan av företagets föregående års intäkter, beroende på vilket som är störst. Personer inblandade i allvarliga överträdelser kan få upp till 7 års fängelse.

Nyligen uppmärksammade fall har visat hur stränga dessa straff kan vara, med böter på flera miljoner yuan och fängelsestraff. För att undvika sådana konsekvenser måste företag etablera robusta regelverk, inklusive regelbunden övervakning, revisioner och anmälningsförfaranden för dataintrång. Dessa åtgärder är avgörande för att hålla sig på rätt sida av detta rigorösa regelverk.

7. Lagen om digital operativ motståndskraft (DORA) – Europeiska unionen (finanssektorn)

Lagen om digital operativ motståndskraft (DORA) fastställer strikta standarder för cybersäkerhet och operativ motståndskraft för finansiella enheter som är verksamma inom Europeiska unionen (EU). Syftet är att säkerställa att finanssektorn effektivt kan motstå cyberhot och störningar.

Jurisdiktion och geografiskt omfång

DORA gäller för ett brett spektrum av finansiella enheter inom EU, inklusive banker, investeringsföretag, kreditinstitut, leverantörer av kryptotjänster och crowdfunding-plattformar. Det omfattar även tredjepartsleverantörer av IKT, även de som är baserade utanför EU, så länge de betjänar EU:s finansiella institutioner. Detta inkluderar viktiga tjänsteleverantörer som kreditvärderingsinstitut och dataanalysföretag. Från och med 2025 kommer de europeiska tillsynsmyndigheterna – ESMA, EBA och EIOPA – att identifiera viktiga tredjepartsleverantörer av IKT-tjänster för förbättrad tillsyn. Medan mindre enheter kan dra nytta av förenklade efterlevnadskrav, måste de flesta organisationer följa förordningens fulla tillämpningsområde.

Krypteringskrav

DORA har en heltäckande strategi för datakryptering och kräver att finansiella enheter säkrar data i tre tillstånd: i vila, under transport och i användningDetta sista krav, kryptering av data under användning, är särskilt anmärkningsvärt eftersom det inte är allmänt implementerat globalt.

Förordningen föreskriver att finansiella enheter ska upprätta IKT-säkerhetspolicyer som prioriterar tillgänglighet, autenticitet, integritet och konfidentialitet för data. Detta inkluderar att utforma riskbaserade krypteringsstrategier och genomföra regelbundna bedömningar för att hantera framväxande cybersäkerhetshot.

"Finansiella enheter ska utforma, anskaffa och implementera IKT-säkerhetspolicyer, -förfaranden, -protokoll och -verktyg som syftar till att säkerställa IKT-systemens motståndskraft, kontinuitet och tillgänglighet, särskilt för de som stöder kritiska eller viktiga funktioner, och att upprätthålla höga standarder för tillgänglighet, autenticitet, integritet och konfidentialitet för data, oavsett om de är i vila, används eller överförs." – DORA, artikel 9.2

DORA uppmuntrar också finansiella enheter att dela information om cyberhot och sårbarheter inom betrodda nätverk för att stärka motståndskraften i hela sektorn.

Tillämplighet på företagslagring

Förordningen lägger stor vikt vid lagringssystem för företag, särskilt för institutioner som hanterar kritisk finansiell data. Organisationer måste säkerställa att deras lagringslösningar inkluderar robusta säkerhetskopieringsfunktioner, återställningsmekanismer och kontinuerlig övervakning av tredjepartsleverantörer.

Till exempel måste företag som använder Serverions hostinglösningar – såsom dedikerade servrar, VPS eller colocation-tjänster – säkerställa att dessa system överensstämmer med DORA:s strikta säkerhets- och motståndskraftskrav. Regelbundna revisioner och automatiserade efterlevnadskontroller är avgörande för att upprätthålla efterlevnaden av förordningen. Dessa åtgärder understryker vikten av säkra lagrings- och återställningsstrategier inom hela finanssektorn.

Påföljder för bristande efterlevnad

Underlåtenhet att följa DORA kan leda till höga böter. Finansinstitut kan få böter på upp till 2% av deras totala årliga globala omsättning eller 1% av deras genomsnittliga dagliga omsättningFör stora organisationer kan detta innebära böter på tiotals miljoner dollar. Dessutom inkluderar specifika påföljder:

• Böter upp till $1,09 miljoner för chefer och företag.
• Kritiska tredjepartsleverantörer av IKT kan få böter på upp till $5,45 miljoner för företag eller $545,000 för individer.
• Brister i cybersäkerheten kan leda till böter på upp till $2,18 miljoner eller 2% av den årliga omsättningen.
• Försenad rapportering av incidenten kan leda till påföljder från och med $272,000.

"Även om cybersäkerhet fortfarande är en prioritet, finns det ett behov av att finansinstitut lyfter ägarskapet för dessa risker till en högre nivå. Många finansinstitut (FI:er) förstår fortfarande inte helt modellen med delat ansvar, utan tror felaktigt att SaaS-tjänsternas motståndskraft enbart ligger hos leverantören." – Wayne Scott, ansvarig för regelefterlevnadslösningar på Escode.

Per den 17 januari 2025 uppskattar analytiker att 99% av tillämpliga finansiella enheter inte var förberedda för DORA-efterlevnad. För att undvika dessa allvarliga påföljder måste organisationer prioritera kryptering, genomföra regelbundna cybersäkerhetsrevisioner, inrätta särskilda efterlevnadsteam, utbilda chefer i deras juridiska ansvar och samarbeta med erfarna cybersäkerhetsleverantörer för att säkerställa systemmotståndskraft och korrekt incidentrapportering.

Jämförelsetabell över datakrypteringslagar

Lagar om datakryptering skiljer sig kraftigt beroende på jurisdiktion. Varje förordning hanterar krypteringskrav, påföljder och verkställighetstekniker på sitt eget sätt. Tabellen nedan belyser viktiga detaljer i dessa lagar och ger en bra grund för de efterlevnadsstrategier som behandlas i senare avsnitt.

Lag	Jurisdiktion	Krypteringskrav	Datatillstånd som omfattas	Maximala straff	Primärindustrier
GDPR	Europeiska unionen	"Lämpliga tekniska åtgärder" inklusive kryptering	I vila, under transport	20 miljoner euro eller 41 TP3T av global omsättning	Alla sektorer
CPRA	Kalifornien, USA	"Rimliga säkerhetsrutiner"	I vila, under transport	$7 500 per avsiktlig överträdelse	Alla sektorer
LGPD	Brasilien	"Tekniska skyddsåtgärder" inklusive kryptering	I vila, under transport	2% av intäkterna, max ~$9,3 miljoner	Alla sektorer
PIPEDA	kanada	"Lämpliga skyddsåtgärder"	I vila, under transport	N/A	Alla sektorer
DPDPA	Indien	"Rimliga säkerhetsrutiner"	I vila, under transport	N/A	Alla sektorer
PIPL	Kina	"Tekniska åtgärder" inklusive kryptering	I vila, under transport	N/A	Alla sektorer
DORA	EU (Finansiellt)	Obligatorisk kryptering	I vila, under transport	N/A	Endast finansiella tjänster

Viktiga skillnader i tillvägagångssätt

Krypteringskraven varierar i hur tydligt de definieras. Till exempel kräver GDPR "lämpliga tekniska åtgärder", vilket ger flexibilitet i implementeringen. Å andra sidan föreskriver DORA uttryckligen kryptering, särskilt för finansiella tjänster. Denna skillnad återspeglar de varierande nivåerna av specificitet som olika regleringar ger.

Europeiska bankmyndigheten erbjuder detaljerad vägledning för efterlevnad och anger:

"Betaltjänstleverantörer bör säkerställa att säker end-to-end-kryptering tillämpas mellan de kommunicerande parterna under hela kommunikationssessionen vid utbyte av känsliga uppgifter via internet, i syfte att skydda uppgifternas konfidentialitet och integritet, med hjälp av starka och allmänt erkända krypteringstekniker."

Straffstrukturer

De ekonomiska konsekvenserna av bristande efterlevnad skiljer sig avsevärt. GDPR har några av de högsta straffen, med böter på upp till 20 miljoner euro eller 41 TP3T av den globala omsättningen. Samtidigt använder CPRA en modell med böter per överträdelse, vilket kan leda till eskalerande böter för upprepade överträdelser. För andra regler är detaljerna kring böter mindre tydligt definierade, vilket betonar behovet av att förstå lokala verkställighetspraxis.

Geografisk och branschrelevant omfattning

Medan de flesta regler gäller för alla branscher inom deras jurisdiktioner, är DORA ett undantag, som uteslutande fokuserar på finansiella tjänster. Denna riktade strategi återspeglar den avgörande vikten av datasäkerhet i finansiell verksamhet. Intressant nog fann en studie av Sectigo att 25% av europeiska banker fortfarande saknar Extended Validation. SSL-certifikat, vilket belyser de ständiga utmaningarna med att uppfylla säkerhetsstandarder.

Variationer i tillämpningen

Även tillämpningsfilosofier skiljer sig åt. Vissa lagar tillåter flexibilitet för att anpassa sig till föränderlig teknik, medan andra, som DORA, ger strikta riktlinjer, såsom att kräva säker end-to-end-kryptering för internetdatautbyte. Dessa skillnader understryker vikten av att skräddarsy krypteringsstrategier för att anpassa sig till specifika regulatoriska krav.

För företag som verkar i flera jurisdiktioner är det viktigt att förstå dessa nyanser. Oavsett om man använder dedikerade servrar, VPS eller samlokaliseringstjänster från leverantörer som Serverion, är det ett viktigt steg mot efterlevnad att anpassa krypteringsrutiner till lokala lagar.

Hur företag kan uppfylla efterlevnadskrav

För att uppfylla kraven för krypteringsefterlevnad behöver företag mer än bara avancerade säkerhetsverktyg – de kräver ett strukturerat ramverk för efterlevnad. Detta innebär kontinuerlig övervakning, regelbundna revisioner, grundlig dokumentation och konsekvent tillämpning av policyer. Så här kan organisationer möta dessa krav effektivt.

Upprättande av regelbundna revisionspraxis

Revisioner är ryggraden i alla efterlevnadsstrategier. Både interna och externa revisioner spelar en viktig roll. Interna revisioner utnyttjar organisationens djupa kunskap för att identifiera potentiella brister, medan externa revisioner ger ett nytt, opartiskt perspektiv som kan avslöja förbisedda sårbarheter. Tillsammans säkerställer dessa revisioner att säkerhetsåtgärder inte bara implementeras utan förblir effektiva över tid.

Bygga starka dokumentationssystem

Tydlig och detaljerad dokumentation är avgörande för regelefterlevnad. Som Peter Schawacker, affärsinnovatör och strateg inom cyberrekrytering och rekrytering, och tidigare CISO, uttrycker det:

"En policy är ett uttryckligt uttalande om ledningens avsikter. Den är organisationens ledstjärna. Utan den är det svårt eller omöjligt att uppnå samordning. Och ansvarsskyldighet blir en mycket knepig fråga om man överhuvudtaget kan hålla människor ansvariga."

Organisationer behöver dokumentera hantering av krypteringsnycklar, datahanteringsprotokoll och incidenthanteringsplaner. Korrekt underhållna incidenthanteringsplaner kan till exempel avsevärt minska driftstopp och mildra effekterna av intrång. Detta är särskilt viktigt eftersom de globala kostnaderna för cyberbrottslighet förväntas nå 1400 biljoner dollar årligen år 2025.

Att konsekvent tillämpa policyer

Konsekvens i tillämpningen av policyer är avgörande för att undvika brister i efterlevnaden. Att engagera anställda på olika avdelningar i policyutveckling säkerställer att riktlinjerna är praktiska och relevanta. Regelbundna uppdateringar av dessa policyer hjälper organisationer att hålla sig uppdaterade om nya hot och regeländringar, vilket gör efterlevnad till en kontinuerlig process snarare än en engångsinsats.

Att välja rätt infrastruktur

Rätt infrastruktur kan göra efterlevnaden mer hanterbar. Hostingleverantörer med inbyggda säkerhetsfunktioner, som DDoS-skydd, SSL-certifikat och säker datacenterdrift, erbjuder en stark grund. Till exempel stöder Serverions globala infrastruktur efterlevnad med sina robusta säkerhetsrutiner och alternativ för datalagring, vilket gör det enklare för företag att uppfylla regelverk.

Utbildning och integrering av säkerhet i kulturen

Regelbundna utbildningsprogram säkerställer att medarbetarna förstår sin roll i att upprätthålla krypteringsstandarder och efterlevnad. Genom att främja en kultur där säkerhet är ett delat ansvar kan organisationer skapa en miljö där efterlevnad blir en självklarhet.

Kontinuerlig övervakning och förbättring

Kontinuerlig övervakning är avgörande i takt med att både system och cyberhot utvecklas. Detta inkluderar granskning av åtkomstkontroller, hantering av rotationer av krypteringsnycklar och förnyelse av säkerhetscertifikat. Automatiserade verktyg kan flagga potentiella efterlevnadsproblem i realtid, vilket gör det möjligt för team att vidta snabba korrigerande åtgärder och kontinuerligt stärka sin säkerhetsställning.

Slutsats

Att navigera i globala datakrypteringslagar handlar inte bara om att bocka av juridiska kryssrutor – det är ett avgörande steg för att skydda ditt företag från massiva ekonomiska problem och ryktesskador. Siffrorna säger mycket: företag kan förlora upp till 25% av deras marknadsandel efter en cyberattack, och kostnaderna för bristande efterlevnad är svindlande 2,71 gånger högre än de utgifter som krävs för att följa reglerna. Om det inte understryker hur brådskande det är, kommer ingenting att göra det.

Tillsynsmyndigheter fördubblar sina insatser för att verkställa reglerna, och konsekvenserna av att inte göra det är hårdare än någonsin. Nyligen genomförda fall belyser det höga priset för försummelse. Ta Solara Medical Supplies, till exempel – efter att ha avslöjat känsliga hälsouppgifter för över 114 000 individer, stod de inför en $3 miljoner i straff i januari 2025. Detta fall är en allvarlig påminnelse om att det inte sparar pengar att inte följa reglerna; det kostar mycket mer i längden.

Advokat Joan Wrabetz uttrycker det perfekt: integritet har gått från att vara ett rent lagkrav till att bli ett central affärsstrategi, där kryptering nu fungerar som en viktig differentieringsfaktor för marknadsledare.

För att minska dessa risker måste företag agera nu genom att investera i säker infrastruktur. Detta innebär samarbetar med webbhotellleverantörer som levererar inbyggda säkerhetsfunktioner som DDoS-skydd, SSL-certifikatoch säkra datacenter med global täckning. Serverion erbjuder till exempel robusta säkerhetsåtgärder och flexibla alternativ för datalagring, vilket hjälper företag att möta komplexa regulatoriska krav utan att offra driftseffektiviteten.

I takt med att regeringar tillämpar strängare regler för dataskydd kommer organisationer som prioriterar kryptering och säkra lagringslösningar att positionera sig som ledare i dagens digitala ekonomi.

Vanliga frågor

Hur skiljer sig datakrypteringskraven i GDPR och CPRA åt?

De Allmänna dataskyddsförordningen (GDPR) och den Kaliforniens lag om integritetsskydd (CPRA) har olika tillvägagångssätt när det gäller datakryptering och deras övergripande fokus. GDPR ställer strängare krav och ålägger organisationer att anta tekniska och organisatoriska åtgärder, liksom kryptering, för att skydda personuppgifter och förhindra dataintrång. Dess tillämpningsområde är brett och omfattar alla personuppgifter för EU-invånare, och den betonar en proaktiv hållning i fråga om datasäkerhet.

Däremot lutar CPRA mer åt konsumenträttigheter och transparens för invånare i Kalifornien. Även om det uppmuntrar kryptering som god praxis, gör det det inte till ett strikt krav. Istället fokuserar CPRA starkt på anmälan av intrång och hantering av risker efter att en incident har inträffat, snarare än att tillämpa rigorösa förebyggande åtgärder. Dessa skillnader belyser de viktigaste prioriteringarna i varje förordning – GDPR syftar till ett robust dataskydd, medan CPRA prioriterar konsumentkontroll och ansvarsskyldighet efter intrång.

Vilka åtgärder bör företag vidta för att säkerställa att deras krypteringsmetoder överensstämmer med internationella dataskyddslagar?

För att följa internationella dataskyddslagar måste företag implementera starka krypteringsstandarderFör symmetrisk kryptering är AES-256 ett pålitligt val, medan RSA med 2048-bitars eller större nycklar fungerar bra för asymmetrisk kryptering. Lika viktigt är hantering av krypteringsnycklar, vilket innebär att man på ett säkert sätt genererar, lagrar, distribuerar och återkallar nycklar för att förhindra obehörig åtkomst.

Det är också avgörande att hålla sig uppdaterad om specifika rättsliga ramverk, såsom GDPR, som lyfter fram säker databehandling och erkänner kryptering som en viktig teknisk skyddsåtgärd. Regelbundet granska och uppdatera krypteringsprotokoll i linje med nuvarande branschpraxis säkerställer att företag följer reglerna i olika regioner. Att fokusera på säkerhet och flexibilitet är nyckeln till att hålla jämna steg med det ständigt föränderliga landskapet av dataskyddsregler.

Vilka är riskerna för företag som inte följer datakrypteringslagar som DORA och PIPL?

Bristande efterlevnad av datakrypteringslagar som DORA och PIPL kan leda till allvarliga konsekvenser för företag. Till exempel kan företag enligt DORA drabbas av böter på upp till 21 TP3T av deras globala årsomsättning. På liknande sätt kan brott mot PIPL resultera i böter på så höga som 50 miljoner ¥ (cirka 1 TP4T7,2 miljoner) eller 51 TP3T av årsinkomsten.

Men konsekvenserna slutar inte vid ekonomiska påföljder. Företag kan också drabbas av rättsliga åtgärder, indragning av licenser och driftstörningar, vilket allt kan undergräva den ekonomiska hälsan och skada deras rykte. Att följa reglerna handlar inte bara om att undvika dessa risker – det är också ett sätt att stärka förtroendet hos kunder och partners genom att visa ett starkt engagemang för att skydda data.

Relaterade blogginlägg

• Hur end-to-end-kryptering skyddar företagsdata
• End-to-end-kryptering för Enterprise Storage
• Utmaningar med end-to-end-kryptering i företagshosting
• Bästa praxis för gränsöverskridande datalagring