Datalagring är ett stort kapitel. I huvudsak väljer man lagringsplats efter dataklassning, d.v.s. hur känsligt innehållet är. Ju ”hemligare” data, ju viktigare är det att det finns inom landet (eller inom LU) och kraven på kryptering ökar. Det finns en ISO-standard för dataklassning, ISO-27000.

Data som är känsliga för LU är främst patientdata (MedFak) och patentinformation, men även tentor. Dessa typer av information bör lagras inom LU och på krypterade algringsmedia.

Hantering av personnummer styrs av PUL och får inte lagras i ”tredje land”. Grovt uttryckt är Sverige ”första land”, EU ”andra land” (fast man använder inte den benämningen) och allt annat är ”tredje land”.

I korthet är reglerna för tillåten datalagring att lagring, support, service, backup och samtliga underleverantörer av tjänsten befinner sig i ett land som är godkänt av EU/EES eller, om det gäller USA, är anslutet till Safe Harbor.

För att kunna sälja IT-tjänster till EU har USA:s handelsdepartement tagit fram ett frivilligt avtal vilket företag kan ansluta sig till. Anslutna företag är att betrakta som ”EU-ekvivalenta” och vi kan alltså göra affärer med dem och lagra vår data hos dem.