Dataskydd och hosting

Var din data lagras är inte bara en teknisk fråga — det är en juridisk. Svenska organisationer som väljer infrastruktur utan att analysera dataskyddsrisker bryter potentiellt mot GDPR, och i och med den nya cybersäkerhetslagen (SFS 2025:1506) även mot svensk lag.

Juridiskt landskap i januari 2026

Sedan 2015 har EU-domstolen underkänt varje ramverk som skulle göra det enkelt att överföra personuppgifter till USA. Tidslinjen talar sitt tydliga språk:

  • 2015 — EU-domstolen ogiltigförklarar Safe Harbor (Schrems I)
  • 2020 — EU-domstolen ogiltigförklarar Privacy Shield (Schrems II)
  • Juli 2023 — EU-kommissionen antar Data Privacy Framework (DPF) som nytt adekvansbeslut
  • Oktober 2024EU-kommissionens första DPF-översyn visar att ramverket ”fungerar tillräckligt” men flaggar brister i det amerikanska tillsynsorganet PCLOB
  • Januari 2025 — Trumpadministrationen avsätter PCLOB:s demokratiska ledamöter, vilket gör nämnden beslutsoförmögen. PCLOB är en nyckelkomponent i det DPF som EU-kommissionen godkände
  • Maj 2025 — En federal domstol i Washington D.C. förklarar avsättningarna olagliga och beordrar återinsättning. Regeringen överklagar till D.C. Circuit, som skjuter upp avgörandet i väntan på Högsta domstolens beslut i Trump v. Slaughter
  • September 2025 — EU:s tribunal (General Court) avvisar Philippe Latombes talan mot DPF på materiella grunder (mål T-553/23). Latombe överklagar till EU-domstolen i oktober — överklagandet godtas för prövning men ett avgörande väntas inte före 2027
  • 15 januari 2026Cybersäkerhetslagen (SFS 2025:1506, NIS2-implementeringen) träder i kraft i Sverige. Lagen kräver att verksamheter i 18 sektorer granskar säkerheten i sina leveranskedjor, inklusive hosting och molntjänster

Varje tidigare EU-US-ramverk har underkänts. DPF överlevde sin första rättsliga prövning i september 2025, men överklagandet pågår och den parallella PCLOB-krisen är olöst — nämndens sista kvarvarande ledamots mandat löpte ut den 29 januari 2026, vilket potentiellt lämnar organet helt utan medlemmar. Organisationer som planerar infrastruktur på lång sikt bör väga in att DPF:s rättsliga grund kan förändras.

Digital Omnibus: GDPR under omförhandling

Den 19 november 2025 presenterade EU-kommissionen Digital Omnibus — ett lagförslag som ändrar GDPR, ePrivacy-direktivet, NIS2, dataakten och AI-förordningen i ett samlat paket. Kommissionen kallar det ”förenkling”. Kritiker kallar det en urholkning.

Flera föreslagna ändringar berör direkt hur organisationer hanterar data, men inte var de lagrar den. Bland de viktigaste förslagen:

  • Snävare definition av personuppgifter. Förslaget inför en subjektiv bedömning: data är bara ”personuppgifter” om den som innehar uppgifterna har rimliga medel att identifiera individen. Pseudonymiserade data kan därmed falla utanför GDPR:s tillämpningsområde beroende på vem som behandlar dem.
  • Incidentrapportering höjs från 72 till 96 timmar och tröskeln skärps — bara intrång med ”hög risk” behöver rapporteras. En gemensam rapporteringskanal för GDPR, NIS2 och DORA införs.
  • Cookie-regler flyttas in i GDPR. Nekat samtycke ska gälla i minst sex månader utan ny fråga. Aggregerad besöksmätning och säkerhetscookies undantas från samtyckeskrav.
  • AI-träning på personuppgifter får utökad rättslig grund med en opt-out-mekanism istället för föregående samtycke.

Två perspektiv

Svenskt Näringsliv välkomnar förslaget som ”ett viktigt steg mot ett modernare och mer proportionellt dataskydd” men anser att kommissionen inte går tillräckligt långt — bland annat saknas förenklingar för tredjelandsöverföringar, och vidarebehandling av data begränsas till vetenskaplig forskning istället för att inkludera företags FoU.

NOYB och Max Schrems ser förslaget som ”den största attacken mot européers digitala rättigheter på åratal”. Kritiken riktas framför allt mot den subjektiva personuppgiftsdefinitionen och AI-undantagen. 127 civilsamhällesorganisationer har undertecknat ett öppet brev som konstaterar att paketet ”innebär avreglering, inte förenkling”.

Konsekvenser för hostingval

Digital Omnibus ändrar inte var du behöver lagra data. Förslaget berör samtycke, personuppgiftsdefinitioner och incidentrapportering — inte datalokalisering eller tredjelandsöverföring av infrastrukturtyp. CLOUD Act-konflikten, PCLOB-krisen och cybersäkerhetslagen gäller oförändrat. Organisationer som bygger sin infrastruktur på EU-baserade leverantörer gör det av skäl som inte påverkas av Omnibus-paketet.

Förslaget genomgår nu EU:s ordinarie lagstiftningsförfarande. Antagande väntas tidigast 2027. Väsentliga ändringar under trilogförhandlingarna är sannolika givet det politiska motståndet.

CLOUD Act: den olösta konflikten

USA:s CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ger amerikanska myndigheter rätt att kräva ut data från amerikanska företag — oavsett var servern fysiskt står. Det spelar alltså ingen roll om ett amerikanskt företag lagrar din data i Frankfurt eller Stockholm: en amerikansk domstol kan ändå beordra utlämning.

GDPR:s artikel 48 säger rakt motsatt: utlämning till tredjeland kräver ett rättsligt förfarande som erkänns i EU-rätten. EDPB har konstaterat att CLOUD Act inte uppfyller det kravet. Konflikten är olöst — amerikanska leverantörer sitter i kläm mellan två rättsordningar.

Konsekvensen är mätbar. Enligt Gartners undersökning från mars 2025 planerar 61 procent av europeiska CIO:er att utvärdera regionala molnleverantörer som alternativ till amerikanska molnjättar. Det handlar inte om teknikskifte utan om riskhantering.

Om du överväger att byta hosting av dataskyddsskäl är det klokt att samtidigt mäta serverns svarstid (TTFB) — en flytt till en fysiskt närmare server kan dessutom förbättra laddtiderna.

Vad IMY har gjort — svenska sanktioner

Integritetsskyddsmyndigheten (IMY) har sedan 2023 fattat en rad beslut som visar att tredjelandsöverföringar via spårningsskript straffas hårt i Sverige.

Google Analytics (juli 2023)

IMY granskade fyra organisationer som använde Google Analytics. Tele2 fick en sanktionsavgift på tolv miljoner kronor och CDON fick betala 300 000 kronor. Båda förbjöds att använda verktyget i sin dåvarande konfiguration. Kärnfrågan var att personuppgifter överfördes till USA utan tillräckliga skyddsåtgärder.

Meta Pixel (2024)

Under 2024 utfärdade IMY sanktioner mot företag som använde Metas spårningspixel:

  • Apoteket — 37 miljoner kronor
  • Avanza — 15 miljoner kronor
  • Apohem — åtta miljoner kronor

Mönstret är tydligt: IMY prioriterar fall där spårningsskript och tredjepartstjänster överför personuppgifter till USA. Hosting i sig har ännu inte föranlett sanktioner, men logiken pekar i den riktningen — om skript som delar data med amerikanska företag straffas borde samma resonemang gälla infrastrukturen.

Se vår guide till integritetspolicy för hur du formulerar transparenta villkor kring tredjepartstjänster.

CMS-plattformar och datahemvist

I Sverige dominerar tre CMS-plattformar: WordPress (35 procent av marknaden), Sitevision (18 procent) och Optimizely (tolv procent). De har helt olika profiler vad gäller dataskydd.

PlattformÄgareTypisk serverplatsCLOUD Act-exponeringKommentar
SitevisionSvenskt bolagSvenska servrarIngenPopulär i kommun- och myndighetssektorn. Ingen koppling till amerikanskt moderbolag.
Optimizely (DXP)Episerver AB / Optimizely Inc. (USA)Azure EU-regionerJa — gäller moderbolagetDPF-certifierat. Datan kan formellt begäras ut via CLOUD Act trots EU-lagring.
WordPress (egenhostat)Ingen central ägareValfri (beror på hosting)Beror på hostingleverantörFull kontroll vid EU-hosting och EU-baserade plugins. Kräver aktiv granskning.

Egenhostad WordPress ger störst frihet: du väljer server, plugins och underbiträden. Men den friheten kräver att du faktiskt granskar varje komponent. Ett enda plugin som ringer hem till en amerikansk server kan underminera hela dataskyddsarbetet.

Läs mer om hur val av hosting och infrastruktur påverkar prestanda och dataskydd.

Kontrollista: sju frågor före val av infrastruktur

Innan du tecknar avtal med en hostingleverantör bör du kunna besvara samtliga dessa frågor:

  1. Var lagras data fysiskt? Kräv ett skriftligt svar — ”EU” räcker inte, du behöver veta land och helst datacenter.
  2. Var sitter moderbolaget juridiskt? Ett företag registrerat i USA, Storbritannien eller annat land utanför EU/EES kan omfattas av annan lagstiftning än GDPR.
  3. Vilka underbiträden har åtkomst — och var sitter de? Supportärenden som hanteras i Indien eller USA innebär en tredjelandsöverföring.
  4. Finns ISO 27001-certifiering? Standarden visar att leverantören har ett systematiskt informationssäkerhetsarbete.
  5. Finns SOC 2 Type II-rapport? Rapporten ger en oberoende granskning av leverantörens säkerhetskontroller över tid.
  6. Var lagras backup? Backup i samma jurisdiktion som primärdata är inte självklart — fråga explicit.
  7. Kan leverantören vägra utlämning till tredjeland? Om svaret är nej, eller ”det beror på”, behöver du en plan B.

Cybersäkerhetslagen (SFS 2025:1506), som trädde i kraft den 15 januari 2026, kräver att verksamheter i 18 sektorer vidtar riskhanteringsåtgärder som minst omfattar ”säkerhet i leveranskedjan” (punkt fyra) och ”säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem” (punkt fem). Hosting är en central del av den kedjan. PTS är tillsynsmyndighet för digital infrastruktur, och sanktionsavgifterna kan uppgå till tio miljoner euro eller två procent av global omsättning.

Standardavtalsklausuler och den nya lagstiftningen

Standardavtalsklausuler (SCC) är EU-kommissionens mekanism för tredjelandsöverföringar när inget adekvansbeslut finns — eller som komplement till DPF. Men SCC är inte en formalitet. Organisationen måste genomföra en Transfer Impact Assessment (TIA) som bedömer om mottagarlandets lagstiftning i praktiken underminerar skyddet. CLOUD Act och avsaknaden av en fungerande PCLOB gör den bedömningen svår för USA.

Med cybersäkerhetslagen tillkommer ett nytt lager: organisationer som omfattas av lagen måste inte bara säkra personuppgifter utan även visa att leveranskedjan uppfyller lagens krav på informationssäkerhet. I praktiken innebär det att SCC-avtalet bör kompletteras med krav på ISO 27001 eller motsvarande, och att leverantörens faktiska efterlevnad granskas — inte bara dokumenteras.

DDoS-skydd utan dataexport

Distribuerade överbelastningsattacker (DDoS) är ett reellt hot, och de globala leverantörerna — Cloudflare, Akamai, AWS Shield — erbjuder kraftfull mitigering. Problemet är att deras nätverk routar trafik via noder världen över, inklusive i USA. Det innebär att besökarnas IP-adresser, datahuvuden och ibland hela förfrågningar passerar amerikanska servrar. Sedan EU-domstolens dom i mål C-582/14 (Breyer) klassificeras dynamiska IP-adresser som personuppgifter — varje förfrågan som routas via en amerikansk nod är alltså en potentiell tredjelandsöverföring.

Det finns alternativ. EU-baserade DDoS-tjänster som opererar inom europeisk jurisdiktion fungerar som en ”lokal tvättstuga” — de filtrerar skadlig trafik utan att exponera data utanför EU. Tyska Myra Security uppfyller alla 37 BSI-kriterier för skydd av kritisk infrastruktur och har BSI C5 Type 2-attestering. Link11 (Tyskland) och OVHcloud (Frankrike) erbjuder liknande tjänster under europeisk jurisdiktion. Kostnaden kan vara högre och kapaciteten något lägre än hos de globala aktörerna, men för organisationer med strikta dataskyddskrav är avvägningen motiverad.

Kontrollera även om din hostingleverantör erbjuder grundläggande DDoS-mitigering på nätverksnivå (lager tre och fyra) utan att trafiken lämnar EU.

Tre principer för svenska organisationer

Dataskydd vid val av infrastruktur handlar inte om att välja ”rätt” leverantör från en lista. Det handlar om att ställa rätt frågor och förstå konsekvenserna av svaren. Tre principer som håller över tid:

  1. Föredra EU-baserade leverantörer utan amerikanskt moderbolag. Det eliminerar CLOUD Act-risken helt. Svenska eller europeiska alternativ finns för hosting, e-post, DNS och CDN.
  2. Kräv ISO 27001 och ett personuppgiftsbiträdesavtal (DPA) i upphandlingen. Certifieringen visar systematik, och DPA:n reglerar hur leverantören får behandla personuppgifter. Utan DPA saknas juridisk grund.
  3. Granska varje extern resurs — inte bara hostingen. Google Fonts, analysverktyg, betalningslösningar, chattwidgets: varje tredjepartsresurs som laddas i besökarens webbläsare är en potentiell tredjelandsöverföring. En tysk domstol dömde i januari 2022 ut skadestånd för att Google Fonts laddades från Googles servrar — IP-adressen överfördes till USA utan samtycke. Hosting är bara en del av bilden.

Denna text är inte juridisk rådgivning. Organisationer som behöver bedöma sin dataskyddsefterlevnad bör konsultera en jurist med specialisering inom dataskydd och IT-rätt.