Integritet är inte bara ett dokument
Varje modern SaaS-produkt har en integritetspolicy. De flesta säger rätt saker.
De beskriver vilka data som samlas in, hur de används, vilka kategorier av mottagare som får dem, hur länge de sparas och hur en kund kan utöva sina rättigheter.
Det är nödvändigt — men det räcker inte.
En integritetspolicy berättar vad en leverantör lovar att göra. Produktens arkitektur berättar vad de kan göra.
Om en policy säger "vi säljer inte dina data" men arkitekturen är byggd på infrastruktur från annonsteknik, gör policyn ett tungt jobb. Om en policy säger "vi håller dina data säkra" men systemet hålls ihop av tjugo externa tjänster, lovar policyn saker om delar av systemet som leverantören inte fullt ut kan kontrollera.
Vi anser att integritet först ska synas i arkitekturen och därefter beskrivas i policyn.
Vad "genom arkitektur" faktiskt betyder
Integritet genom arkitektur är idén att själva systemets struktur ska begränsa hur data kan samlas in, nås, behandlas och delas.
Det är skillnaden mellan "vi väljer att inte göra X" och "vi byggde plattformen på ett sätt som gör X opraktiskt".
Det första är en kultur. Det andra är en begränsning.
Kulturer förändras. Begränsningar består.
Besluten som formar det
Integritet genom arkitektur är inte en enskild funktion. Det är en följd av små beslut, upprepade under årens lopp.
Att välja att drifta komponenter internt i stället för att skicka data via externa tjänster. Att välja att minimera vilka kategorier av data vi samlar in. Att välja att inte integrera med ekosystem för annonsering eller beteendespårning. Att välja att lagra affärsdata i regioner som våra kunder förväntar sig. Att välja att hålla arbetsytor isolerade. Att välja att inte utvinna kundinnehåll för marknadsinsikter.
Inget av dessa beslut är dramatiskt i sig. Det är den samlade effekten som formar plattformen.
Vad vi medvetet inte samlar in
En användbar övning är motsatsen till den typiska integritetssammanfattningen.
Vi samlar inte in beteendeprofiler om ditt team för annonsinriktning. Vi spelar inte in sessionsrepriser av användning i arbetsytan. Vi använder inte spårning över flera webbplatser från annonsnätverk inne i den autentiserade plattformen. Vi samlar inte in data som vi inte kan motivera att vi behöver.
Varje ytterligare datapunkt som en plattform samlar in är ett integritetsbeslut. De flesta plattformar lutar åt mer. Vi lutar åt mindre.
Vad vi medvetet inte delar
Det finns ingen vidareförsäljning av kundinformation. Det finns ingen delning med marknadsföringspartner. Det finns ingen pipeline till datamäklare. Det finns ingen "anonymiserad" datamängd som licensieras till tredje part.
När en leverantör säger "vi kan dela aggregerade, anonymiserade data med våra partner" är det värt att förstå vad den meningen faktiskt tillåter. Vi ville inte skriva den.
Vad vi medvetet inte sparar för alltid
Lagring av säkerhetskopior finns av skäl som operativ tillförlitlighet och regulatoriska skyldigheter. Vi dokumenterar våra lagringsperioder i integritetspolicyn.
Men utanför dessa uttryckliga lagringsfönster raderar vi det vi inte längre behöver. Vi behåller inte kundinformation på obestämd tid som standard. Vi håller inte data från avslutade konton tillgängliga ifall "du kanske kommer tillbaka". Vi hamstrar inte information för framtida produktidéer.
Om vi inte behövde behålla den, raderar vi den.
Varför dataminimering spelar roll
Dataminimering är en av GDPR:s kärnprinciper. Det är också god ingenjörskonst.
Varje ytterligare uppgift som ett system lagrar är något som måste skyddas, säkras, säkerhetskopieras, replikeras, hållas kompatibelt och till slut raderas. Mindre data innebär mindre yta att försvara.
För våra kunder innebär det också mindre att oroa sig för. Den information som finns är den information du lägger in där — inte en lång skugga av beteendemetadata som någon, någonstans, så småningom kanske hittar en användning för.
Varför isolering spelar roll
Varje KIMISUITE-arbetsyta är logiskt isolerad från alla andra. Dina affärsdata blandas inte med andra kunders innehåll. Åtgärder mellan arbetsytor sker inte som standard. Funktionalitet mellan arbetsytor är frivillig och uttrycklig.
Den isoleringen är inbyggd i hur plattformen fungerar, inte bara i policyn.
Varför arkitektur slår marknadsföring
Det är lätt för vilken leverantör som helst att skriva "integritet finns i vårt DNA" på en marknadsföringssida. Det kostar ingenting.
Det är svårare att fatta arkitekturbeslut som begränsar själva plattformen — beslut som måste försvaras varje gång ett konkurrerande krav dyker upp.
Interna team kommer att be om mer beteendedata. Säljteam kommer att be om rikare kundprofiler. Marknadsföring kommer att vilja ha sessionsrepriser. Någon framtida investerare kommer att föreslå att tjäna pengar på "anonymiserade" datamängder.
Svaret på allt detta, genom arkitektur och avsikt, är nej.
Avslutande tankar
En integritetspolicy kan beskriva vad en leverantör vill göra.
En plattforms arkitektur avgör vad en leverantör kan göra.
Vi valde att få de två att stämma överens — och att fortsätta hålla dem i linje när plattformen växer.
Om ditt företag lagrar viktig information i en SaaS-plattform är den överensstämmelsen värd att granska noggrant.
Fortsätt läsa Trust Series:
← Föregående: Vem kan få åtkomst till dina affärsdata?
→ Nästa: Vad händer med dina data när du avslutar?