Energetika-VDS Be om tilbud
NB

Blogg

GDPR og PCB-montering: hvordan EU EMS håndterer din BOM, firmware og IP

Publisert 2026-05-27

En praktisk guide til hvordan EU-baserte EMS-leverandører håndterer BOM-filer, firmware-binærer og kunde-IP under GDPR — og hvorfor dette betyr noe sammenlignet med kinesiske monteringsverksteder.

Sammendrag

  • GDPR gjelder for PCBA når BOM-er, skjemaer eller firmware inneholder personopplysninger, navngitte kontraktører eller enhetsidentifikatorer knyttet til fysiske personer.
  • EU EMS-leverandører opererer under et samlet personvernregime; kinesiske monteringsverksteder styres av PIPL pluss Kinas cybersikkerhetslov, som inkluderer statlige tilgangsbestemmelser.
  • Energetika-VDS beholder kundens tekniske filer i avtalt garantivindu, deretter sikker sletting; NDA-er er bilaterale og signert før noen BOM lander i vårt MES.

Kort svar: GDPR er relevant for kretskortmontering når prosjektfilene dine bærer identifiserbare personopplysninger — kontraktørenes navn, enhetsbundne bruker-ID-er, innebygde tjenestekontoer eller testriggslogger med operatør-ID-er. EU-baserte EMS-leverandører som Energetika-VDS opererer under én enhetlig, håndhevbar databeskyttelsesregime med sivilrettslige rettsmidler; kinesiske leverandører opererer under PIPL og Kinas cybersikkerhetslov, der statlig tilgang til kommersielle data er lovpålagt i definerte tilfeller.

For de fleste elektronikkjøpere høres "databeskyttelse i PCBA" ut som et HR-tema. Det er det ikke. Din BOM inneholder leverandørlisten din, fastvaren din inneholder algoritmene dine, testrapportene dine inneholder utbyttetallene dine, og fixturene dine koder teststrategien din. Hvor de dataene bor — og hvem som kan tvinges til å avsløre dem — er en forretningsbeslutning, ikke en compliance-fotnote.

Hvorfor GDPR berører kretskortmontering i det hele tatt

GDPR (EU-forordning 2016/679) regulerer behandlingen av personopplysninger til EU-borgere. PCBA ser ut som en B2B-teknisk tjeneste, men flere berøringspunkter krysser linjen:

  • BOM-filer inneholder ofte navn og e-poster til ingeniører, distributører og kontraktdesignere.
  • Fastvarebinærfiler kan bære innkompilerte tjenestekontoer, telemetriendepunkter knyttet til identifiserbare brukere, eller kryptografiske nøkler assosiert med navngitte personer.
  • DFM-tilbakemeldings-e-poster er per definisjon personlig korrespondanse.
  • Sporbarhetsregistre produsert under kretskortmontering knytter operatør-ID-er til spesifikke serienumre — det er personopplysninger under artikkel 4(1).
  • Tilbudsstadie-opplastinger til en tilbudsestimator bærer IP-adresser og kontaktmetadata.

I det øyeblikket noe av det ovennevnte kommer inn i et EMS-system, engasjeres GDPR. Spørsmålet er ikke "gjelder det?", men "er forholdet mellom behandlingsansvarlig og databehandler rent?"

EU EMS vs kinesiske leverandører: den juridiske rammen

Jurisdiksjon Hovedlov Regel for grenseoverskridende overføring Bestemmelser om statlig tilgang Sivilrettslig rettsmiddel ved brudd
EU (inkl. Energetika-VDS i MK som PEM-part, GDPR-justert) GDPR + nasjonal DPA Artikkel 45-adekvansavtale / SCC Kun rettslig kjennelse Inntil 4 % av global omsetning
Kina (JLCPCB, PCBWay) PIPL + cybersikkerhetslov CAC-sikkerhetsvurdering for eksport Artikkel 7 cybersikkerhetslov — obligatorisk samarbeid Begrenset, etter rettens skjønn
Sveits / Norge (adekvans) revFADP / personopplysningsloven Artikkel 45-ekvivalent Kun rettslig kjennelse Sammenlignbar med GDPR
USA Lappverk av statlige lover (CCPA osv.) Ingen for PCBA-typisk B2B FISA 702, CLOUD Act Sektorbasert

PIPL-rammeverket i Kina inneholder bestemmelser (artikkel 41) som tillater overføring til ikke-kinesiske myndigheter kun med PRC-myndighetsgodkjenning — det betyr at din BOM, hvis den forespørres av en EU-regulator, ikke kan returneres uten Beijings godkjenning. For det meste av forbrukerelektronikk er dette irrelevant. For forsvarsrelaterte, medisinske, dual-use- eller kritisk-infrastrukturprosjekter er det vesentlig.

Hva "datahåndtering" faktisk ser ut som hos en mellom-EU EMS

Når en kunde engasjerer Energetika-VDS, kjører datarørledningen som følger:

  1. NDA signert før noen teknisk fil ankommer. Bilateral, gjensidig, regulert av makedonsk lov med EU-vernetingsalternativ.
  2. Filer lastet opp via TLS til vår tilbudsportal; metadata fjernes fra PDF-er.
  3. BOM importert til MES for komponentanskaffelse; leverandørnavn er kun synlige for innkjøpsavdelingen.
  4. Gerbers, pick-and-place og fastvare arkivert i et prosjekthvelv, kryptert i ro (AES-256).
  5. Operatørtilgang er rollebasert; linjeoperatører ser jobb-ID-er, ikke kundenavn.
  6. Etter garantivinduet utløper (typisk 24 måneder etter sluttlevering), slettes filene sikkert — NIST SP 800-88 Purge-nivå.
  7. Sporbarhetsregistre som kobler operatør – serienummer beholdes per kvalitet-sporbarhet-policy og IPC-1782.

Hele prosessen er dokumentert under produksjonsprosess og våre inspeksjon og testing-kontroller.

Fastvare og IP: de spesifikke bekymringene

Fastvare er den høyestrisiko-artefakten i en PCBA-kontrakt. Kundene spør:

  • "Hvis du flasher binæren min, beholder du en kopi?" Ja — i garantivinduet — kryptert og ikke uttrekkbar fra linjen.
  • "Kan en konkurrent på linjen din se fastvaren min?" Nei. Produksjonsceller er fysisk segregert; programmeringsstasjoner skriver fra et forseglet hvelv.
  • "Hva hvis en programmerer slutter?" Tilgangen deres oppheves samme dag; hvelvets revisjonslogg viser hver lesing.
  • "Reverse-engineerer dere?" Kontraktsmessig forbudt; teknisk meningsløst — vi er en montør, ikke et chip-hus.

For sensitive prosjekter kan kundene levere forhåndsflashede MCU-er, sende blanke, eller bruke engangsprogrammerbare sikringer etter FCT.

Dataretensjon, sletting og revisjonsrettigheter

Retensjonsvinduer hos mellom-EU EMS er bundet til garantiforpliktelser og IPC-sporbarhetsregler (ti-års retensjon er ikke en GDPR-standard — det er et kundedrevet valg for sikkerhetskritiske sektorer). Standard Energetika-VDS-retensjon:

  • Tilbuds- og e-postkorrespondanse: 36 måneder
  • BOM, Gerbers, P&P: garantivindu + 12 måneder
  • Fastvarebinær: kun garantivindu
  • Sporbarhets-JSON (operatør + serie + lot): 10 år for IPC Class 3, 5 år for Class 2
  • AOI-bilder: 6 måneder med mindre kunden krever lengre

Kunder kan revidere datahåndtering med 30 dagers varsel. Vi er et JLCPCB-alternativ nettopp fordi den revisjonsretten er håndhevbar her og i praksis ikke håndhevbar i Shenzhen.

Praktiske anbefalinger

  • For småserie kretskortmontering i Europa fjerner en EU EMS én hel compliance-vektor til moderat kostnadstillegg.
  • Inkluder et databeskyttelsesvedlegg i RFQ-en din. Vi vil signere det. De fleste asiatiske hus vil ikke.
  • Be om dataflytdiagrammet. Hvis EMS ikke kan produsere et på en uke, gå.
  • Verifiser underbehandlerlisten. Underkontrahert programmering eller testhus-arbeid trenger samme videreføring.
  • Når du ber om et tilbud, flagg eventuell eksponering av personopplysninger på forhånd slik at NDA-omfanget matcher virkeligheten.

Ofte stilte spørsmål

Er GDPR relevant for PCBA? Ja, når prosjektfilene bærer personopplysninger — kontraktørnavn, innebygde bruker-ID-er, telemetriendepunkter knyttet til personer, eller sporbarhetsregistre som kobler operatører til enheter. For det meste kommersiell elektronikk er svaret "ja, på begrenset måte".

Hva med fastvare-IP-en min? Fastvarebinærfiler lagres kryptert, åpnes kun med programmeringsstasjons-legitimasjon, og slettes ved garantivindu-slutt. Reverse engineering er kontraktsmessig forbudt og operasjonelt ikke det en montør gjør. Kunder som ønsker maksimal kontroll, kan levere forhåndsflashede enheter.

Hva er EU EMS-retensjonsnormer for data? BOM-er og Gerbers: garantivindu pluss 12 måneder. Fastvare: kun garantivindu. Sporbarhet: 10 år for IPC Class 3, 5 år for Class 2. AOI-bilder: 6 måneder som standard. Alt kan overstyres av kunden.

Er NDA standard? Ja, signert bilateralt før filene ankommer. Energetika-VDS leverer en standard gjensidig NDA på engelsk; vi vil også signere en kundemal hvis den er rimelig. Gjeldende lov er forhandlingsbar; vernetinget settes som standard til Skopje med EU-anerkjent voldgiftsalternativ.

Er det ekstra beskyttelse for forsvars- eller dual-use-prosjekter? Ja — segregert celle, navngitte operatører, ingen underkontrahert programmering, kundeovervåket linjeåpning og luft-isolerte fastvarehvelv. Diskuter krav ved tilbudsgivning.

Ta dette i produksjon

Jobber du med filen eller testforberedelsen denne artikkelen omhandler, ser vi gjerne over det du har.

Send filer for gjennomgang Se kapasiteter