GDPR och CLOUD Act: Varför dina data inte är säkra hos AWS
CLOUD Act vs GDPR — en olöslig konflikt
Om ditt företag använder AWS, Azure eller Google Cloud har du ett problem. USA:s CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ger amerikanska myndigheter rätt att kräva ut data från amerikanska företag — oavsett var i världen datan lagras.
Det innebär att data hos AWS i Frankfurt, Azure i Amsterdam eller Google Cloud i Finland kan lämnas ut till amerikanska myndigheter utan att du ens informeras.
Vad är CLOUD Act?
CLOUD Act antogs 2018 och ger amerikanska myndigheter befogenhet att:
- Kräva ut data som lagras av amerikanska företag var som helst i världen
- Göra detta utan att informera datasubjektet (den vars data det gäller)
- Kringgå lokala dataskyddslagar genom bilaterala avtal
Varför är det ett problem?
GDPR (EU:s dataskyddsförordning) kräver att personuppgifter inte överförs till tredjeland utan adekvata skyddsåtgärder. CLOUD Act möjliggör exakt en sådan överföring — utan skyddsåtgärder och utan samtycke.
“Men vi kör AWS Stockholm-regionen”
Det spelar ingen roll. AWS är ett amerikanskt företag som lyder under CLOUD Act oavsett var servrarna står. Samma gäller:
- Microsoft Azure (alla regioner)
- Google Cloud Platform (alla regioner)
- Oracle Cloud, IBM Cloud, Salesforce
- Alla SaaS-tjänster med amerikanskt moderbolag
Europadomstolen slog redan 2020 fast i Schrems II-domen att USA inte erbjuder adekvat dataskydd. EU-US Data Privacy Framework (DPF) som kom 2023 har kritiserats hårt och förväntas bli utmanat juridiskt.
Vad säger svenska myndigheter?
- Integritetsskyddsmyndigheten (IMY) har utfärdat böter mot företag som använt Google Analytics
- Schrems III — nya rättsprocesser pågår mot DPF
- Europeiska dataskyddsstyrelsen (EDPB) har varnat för att använda US-baserade molntjänster för känsliga data
Lösningen: Svensk hosting utan CLOUD Act-risk
Genom att välja en svensk hostingleverantör utan koppling till amerikanska företag eliminerar du CLOUD Act-risken helt.
No-Ack Hosting — svenskt från grunden
| No-Ack Hosting | AWS/Azure/Google | |
|---|---|---|
| Bolag | Svenskt AB | Amerikanskt |
| CLOUD Act | ❌ Omfattas inte | ✅ Omfattas |
| GDPR | ✅ Full efterlevnad | ⚠️ Konflikt med CLOUD Act |
| Datacenter | Stockholm | Varierar |
| Data lämnar Sverige | ❌ Aldrig | ⚠️ Möjligt |
| Kryptobetalning | ✅ Monero, Bitcoin | ❌ |
Vad vi erbjuder
- Datacenter i Stockholm — dina data stannar i Sverige
- Svenskt bolag — No Ack Infrastruktur AB, org.nr 559513-5794
- Ingen koppling till USA — vi är inte dotterbolag eller partner till amerikanska företag
- Dagliga backuper — på svenska servrar
- Monero-betalning — för maximal integritet
Vem bör agera?
- Företag som hanterar personuppgifter (dvs. nästan alla)
- Myndigheter och offentlig sektor som lyder under extra strikta regler
- Hälso- och sjukvård med patientdata
- Advokatbyråer och revisorer med klientkonfidentiell data
- E-handelsföretag med kunddata
Migrera från hyperscalers
- Inventera vilka tjänster du kör hos AWS/Azure/Google
- Bedöm vilka som hanterar personuppgifter
- Välj svensk hosting — VPS, dedikerad server eller colocation
- Migrera data och tjänster
- Uppdatera dataskyddspolicy och behandlingsregister