Cloud Act vs GDPR: Varför ditt amerikanska moln är en compliance-risk

Q: Vilka europeiska alternativ finns till amerikanska molntjänster?

Det finns flera starka europeiska alternativ. För infrastruktur: Hetzner (Tyskland), OVHcloud (Frankrike) och Scaleway (Frankrike). För samarbetsverktyg: Nextcloud, Proton och Open-Xchange. Självhosting på EU-baserade servrar är också ett alternativ som ger full kontroll.

Den amerikanska CLOUD Act (Clarifying Lawful Overseas Use of Data Act) antogs 2018 och ger amerikanska myndigheter rätt att kräva data från amerikanska företag, oavsett var i världen datan lagras. För svenska företag som använder AWS, Google Cloud, Microsoft Azure eller något annat USA-baserat SaaS-verktyg innebär det här en sak: er kunddata kan köras av amerikanska myndigheter utan er vetskap.

Det står i direkt konflikt med GDPR. Och konflikten är inte teoretisk. Den är praktisk, juridisk och påtaglig för varje företag som hanterar persondata i molnet.

Vad är CLOUD Act och varför spelar den roll?

Före CLOUD Act var rättslagen oklar. Amerikanska myndigheter hade svårt att kräva ut data som lagrades på servrar utanför USA. Den nya lagen ändrade det fundamentalt.

• Global räckvidd: Amerikanska myndigheter kan kräva data från amerikanska företag oavsett var servern står. Fysisk placering i EU skyddar inte.
• Ingen notifiering krävs: Företaget som lämnar ut data behöver inte informera dataägaren. Ni kanske aldrig får veta att era kunders data har begärts ut.
• Brett tillämpningsområde: Lagen gäller alla amerikanska företag och deras dotterbolag. Det inkluderar Amazon, Google, Microsoft, Salesforce, Slack, Dropbox och hundratals andra.

Konsekvensen: Om ert företag lagrar kunddata hos en amerikansk molnleverantör, även på en server i Frankfurt eller Stockholm, kan den datan överlämnas till amerikanska myndigheter. Och ni kanske aldrig får reda på det.

Schrems II och den juridiska osäkerheten

I juli 2020 ogiltigförklarade EU-domstolen Privacy Shield-avtalet genom den så kallade Schrems II-domen. Domstolen slog fast att USA inte erbjuder tillräckligt dataskydd för EU-medborgares persondata, framför allt på grund av just den typ av myndighetsåtkomst som CLOUD Act legaliserar.

Det satte många företag i en omöjlig sits: de var beroende av amerikanska molntjänster men hade plötsligt ingen giltig rättslig grund för dataöverföringen.

EU-US Data Privacy Framework (2023)

EU-kommissionen antog ett nytt ramverk i juli 2023 för att ersätta Privacy Shield. Företag som certifierar sig under ramverket får åteligen överföra data till USA. Men många jurister varnar för att ramverket inte löser grundproblemet. CLOUD Act gäller fortfarande. Max Schrems har redan signalerat att han avser att utmana även detta avtal. En "Schrems III"-dom är inte otänkbar.

IMY:s tillsyn i Sverige

Integritetsskyddsmyndigheten (IMY) har aktivt granskat svenska företag och myndigheters användning av amerikanska molntjänster. Flera beslut har resulterat i böter och förelägganden, särskilt kring Google Analytics och liknande verktyg. Trenden är tydlig: IMY tar GDPR-överföringar till USA på allvar.

Reella risker för svenska företag

Det här är inte en abstrakt juridisk fråga. För svenska företag som använder amerikanska molntjänster finns konkreta risker:

GDPR-sanktioner

Böter upp till 20 miljoner euro eller 4% av global årsomsättning. IMY har visat att de agerar. Flertalet svenska organisationer har redan fått beslut om sanktionsavgifter kopplat till tredjelandsöverföringar.

Kundförlust

Allt fler B2B-kunder, särskilt inom finans, hälso- och sjukvård samt offentlig sektor, kräver att leverantörer kan visa var data lagras och att den inte lämnar EU. Att inte kunna svara på det blir en dealbreaker.

Upphandlingshinder

Offentliga upphandlingar i Sverige och EU ställer allt oftare krav på datasuveränitet. Företag som förlitar sig på amerikanska molntjänster kan uteslutas från upphandlingar inom säkerhetskänsliga sektorer.

Okontrollerad exponering

Eftersom CLOUD Act inte kräver att dataägaren informeras kan ert företag exponera kunddata utan att någonsin få vetskap om det. Det gör det omöjligt att uppfylla GDPR:s transparenskrav.

Praktiska alternativ: Europeiska molntjänster

Det finns mogna europeiska alternativ för de flesta amerikanska molntjänster. Att byta är inte längre den stora insatsen det en gång var.

Infrastruktur och hosting

✓ Hetzner (Tyskland): Prisvärd, pålitlig IaaS med datacenter i Tyskland och Finland. Populärt val för europeiska startups och SME:er.
✓ OVHcloud (Frankrike): Europas största molnleverantör med datacenter i flera EU-länder. Erbjuder allt från bare metal till managed Kubernetes.
✓ Scaleway (Frankrike): Utvecklarfokuserad plattform med starkt EU-fokus. Bra alternativ för team som värderar enkelhet och transparens.

Samarbete och produktivitet

✓ Nextcloud: Självhostat alternativ till Google Workspace och Microsoft 365. Fildelning, kalender, kontakter och samarbetsverktyg under er kontroll.
✓ Proton (Schweiz): End-to-end-krypterad e-post, kalender, lagring och VPN. Schweizisk jurisdiktion med starkt integritetsskydd.
✓ Open-Xchange: Europeisk e-post- och samarbetsplattform som driver många europeiska operatörers e-posttjänster.

Viktig princip: Det handlar inte om att byta allt på en gång. Börja med er mest känsliga data. Kundregister, hälsovårdsdata, ekonomisk information och juridiska dokument bör prioriteras. Mindre känslig data kan migreras stegvis.

Fem steg för att minska er CLOUD Act-risk

Kartlägg era tredjelandsöverföringar

Gör en fullständig inventering av alla tjänster som hanterar persondata. För varje tjänst: var finns leverantören registrerad? Var står servrarna? Finns det underleverantörer i USA? Många företag blir förvånade över hur många USA-kopplingar de har.

Klassificera er data

Inte all data har samma riskprofil. Identifiera vilken data som är mest känslig: personuppgifter, hälsovårdsdata, finansiell information, advokatkorrespondens. Prioritera migreringsinsatsen baserat på risk.

Utvärdera europeiska alternativ

För varje USA-baserad tjänst, identifiera minst ett europeiskt alternativ. Testa dem. Många europeiska tjänster har mognat avsevärt de senaste åren och erbjuder funktionsparitet med amerikanska motsvarigheter.

Implementera tekniska skyddsåtgärder

Där ni måste använda amerikanska tjänster: implementera end-to-end-kryptering där det är möjligt, minimera datainsamlingen, se till att ni har robusta DPA:er (Data Processing Agreements) på plats och dokumentera era skyddsåtgärder noggrant.

Dokumentera och följ upp

GDPR kräver att ni kan visa hur ni skyddar persondata. Dokumentera era Transfer Impact Assessments (TIA), era tekniska åtgärder och er migreringsplan. Granska kvartalsvis. Lagstiftningen utvecklas snabbt.

Bright Interactions Border Tracer

Vi har utvecklat Border Tracer specifikt för att hjälpa företag att identifiera tredjelandsöverföringar i sin digitala infrastruktur. Verktyget skannar er webbplats och era tjänster för att kartlägga var data skickas, vilka leverantörer som är inblandade och vilka jurisdiktioner som gäller.

Border Tracer visar er:

✓ Vilka tredjepartstjänster er webbplats laddar och var deras servrar finns
✓ Om cookies eller trackers skickar data till USA eller andra tredjeländer
✓ Vilka dataöverföringar som saknar giltig rättslig grund
✓ Konkreta rekommendationer för att minska er exponering

Vanliga frågor

Gäller Cloud Act för data som lagras i EU?

Ja, om leverantören är amerikanskt. CLOUD Act ger amerikanska myndigheter rätt att kräva ut data från amerikanska företag oavsett var servern står. Att lagra data i ett EU-datacenter hos AWS, Google eller Azure skyddar inte mot amerikanska myndigheters begäran.

Är Google Workspace GDPR-kompatibelt?

Juridiskt osäkert. Flera EU-myndigheter, inklusive danska och franska dataskyddsmyndigheter, har dömt emot eller ifrågesatt användningen av Google Workspace i offentlig sektor. För privata företag är risken densamma: dataöverföringar till USA saknar fullständig rättslig grund efter Schrems II.

Vilka europeiska alternativ finns till amerikanska molntjänster?

Det finns flera starka alternativ. För infrastruktur: Hetzner (Tyskland), OVHcloud (Frankrike) och Scaleway (Frankrike). För samarbetsverktyg: Nextcloud, Proton och Open-Xchange. Självhosting på EU-baserade servrar är också ett alternativ som ger full kontroll över var data lagras.

Kan jag fortfarande använda AWS om jag behöver följa GDPR?

Tekniskt ja, med rätt avtal (DPA), kryptering och tekniska skyddsåtgärder. Men den juridiska risken kvarstår så länge CLOUD Act gäller. IMY och andra EU-tillsynsmyndigheter kan bedöma att överföringen saknar tillräckligt skydd. Företag som hanterar känslig persondata bör allvarligt överväga europeiska alternativ.

Sammanfattning

CLOUD Act och GDPR är i grunden oförenliga. Så länge amerikanska myndigheter har laglig rätt att kräva ut data från amerikanska molnleverantörer, oavsett var datan lagras, kan inget svenskt företag vara helt säkert på att deras kunddata är skyddad hos en amerikansk leverantör.

Det betyder inte att ni måste byta allt imorgon. Men det betyder att ni bör ha en plan, att ni bör prioritera känslig data och att ni bör börja utvärdera europeiska alternativ. Ju längre ni väntar, desto större blir både den juridiska risken och migreringskostnaden.

Vill ni veta var er data hamnar? Bright Interactions Border Tracer kartlägger era tredjelandsöverföringar och visar exakt vilka tjänster som skickar data utanför EU. Resultaten är klara på minuter.