Serverkabinett som en folksamling, det främre med svensk flagga
Guider
Fredrik Eriksson ·

Därför spelar serverns placering roll: svensk hosting och GDPR

Var din data befinner sig spelar verklig roll

Det är lätt att tänka på ett webbhotell enbart som en teknisk tjänst, som diskutrymme och bandbredd på ett rack någonstans. Men var det racket fysiskt befinner sig avgör vilket lands lagar som gäller för din data, och det påverkar direkt hur du uppfyller GDPR. Det är inte en detalj i liten stil. Det är en grundläggande fråga om datahemvist.

Den här artikeln förklarar vad datahemvist betyder i praktiken, varför USA-ägda bolag är ett särskilt problem även när deras servrar står i Europa, och vad du bör kräva av ditt webbhotell. För en samlad jämförelse av leverantörerna finns svenska webbhotell med servrar i Sverige på Webguide.se.

I min erfarenhet av webbutveckling och drift är serverplacering en av de frågor som oftast hamnar sist på listan när en sajt sätts upp, trots att det är en av de svåraste sakerna att rätta i efterhand när verksamheten väl har vuxit och datan spridit sig.

Vad datahemvist faktiskt innebär

Datahemvist, eller "data residency" på engelska, handlar om var personuppgifter fysiskt lagras och behandlas. Enligt GDPR (artikel 44 och framåt) är det som utgångspunkt förbjudet att överföra personuppgifter till länder utanför EU/EES om inte tillräckliga skyddsåtgärder finns på plats.

Väljer du ett webbhotell vars servrar finns i Sverige, inom EU, är det svenska och europeiska regler som gäller. Väljer du ett bolag med servrar i USA eller ett USA-ägt bolag, oavsett var servrarna faktiskt står, uppstår en annan rättslig situation.

Illustration av datasuveränitet, en skyddad server och data som överförs till en server i ett annat land

Schrems II förändrade spelplanen

I juli 2020 ogiltigförklarade EU-domstolen det så kallade Privacy Shield-avtalet, ett ramverk som tidigare tillät dataöverföringar till USA. Domen, känd som Schrems II, grundade sig på att EU-domstolen bedömde att amerikanska underrättelse- och övervakningslagar ger otillräckligt skydd för EU-medborgares personuppgifter.

Konkret handlar det om två lagstiftningar. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ger amerikanska myndigheter rätt att begära ut data som amerikanska bolag kontrollerar, oavsett om datan fysiskt lagras i USA eller i ett europeiskt datacenter. FISA 702 ger NSA och andra underrättelsetjänster befogenhet att samla in data om icke-amerikanska medborgare från amerikanska leverantörer.

Det innebär att ett USA-ägt bolag, till exempel Amazon Web Services, Google Cloud eller Microsoft Azure, formellt sett kan tvingas lämna ut din data till amerikanska myndigheter även om servern rent fysiskt står i Frankfurt eller Stockholm. Det är kärnan i problemet.

Data Privacy Framework och läget idag

I juli 2023 antog EU-kommissionen ett nytt adekvansbeslut för USA, det så kallade EU-U.S. Data Privacy Framework (DPF). Det är tänkt att ersätta Privacy Shield och skapa en ny rättslig grund för dataöverföringar till certifierade amerikanska bolag. Kritiker, däribland Max Schrems organisation NOYB, har redan utmanat DPF rättsligt och menar att det grundläggande problemet inte lösts. CLOUD Act och FISA 702 är fortfarande i kraft.

Om DPF ogiltigförklaras, precis som Privacy Shield och Safe Harbor dessförinnan, hamnar organisationer som förlitat sig på det i en ny juridisk gråzon. Det är ett scenario som är värt att ta på allvar, särskilt om du hanterar känslig kunddata. Märk att detta inte är juridisk rådgivning. Om din verksamhet hanterar känsliga personuppgifter bör du konsultera en dataskyddsjurist.

Schweiz är ett exempel på ett land som EU redan gett adekvansstatus. Det betyder att dataöverföringar dit kan ske utan extra skyddsåtgärder. Infomaniak, det schweiziska webbhotellet, framhåller regelbundet sin schweiziska hemvist som en fördel. Det är ett legitimt argument, men för svenska och europeiska verksamheter är ett EU-baserat alternativ fortfarande det enklaste och tydligaste valet.

Vad IMY:s Google Analytics-beslut betyder i praktiken

Det är lätt att betrakta Schrems II som ett abstrakt EU-rättsligt avgörande, men i Sverige fick det konkret ekonomisk konsekvens. Den 3 juli 2023 beslutade Integritetsskyddsmyndigheten (IMY) att Tele2 ska betala 12 miljoner kronor och CDON 300 000 kronor i sanktionsavgift för olaglig överföring av personuppgifter till USA. Grunden var att bolagen använt Google Analytics på ett sätt som stred mot GDPR artikel 44, under perioden augusti 2020 till maj 2023. Ärendet initierades av klagomål från NOYB, Max Schrems organisation, mot fyra svenska bolag. Kammarrätten bekräftade senare Tele2:s avgift.

Det centrala argumentet från IMY gäller kryptering. Många trodde att krypterad dataöverföring skulle räcka som tekniskt skydd, men IMY konstaterade att det inte är tillräckligt. Anledningen är att Google, som amerikanskt bolag, enligt amerikansk lagstiftning kan tvingas lämna ut krypteringsnycklar till amerikanska myndigheter. Skyddet bryts alltså inte tekniskt, utan juridiskt. Det räcker inte att data är oläslig under transport om den part som håller nyckeln kan tvingas överlämna den. Märk att detta resonemang gäller oberoende av hur säker den tekniska lösningen i övrigt är.

Beslutet ändrade tonen i många svenska verksamheter. Från att ha sett GDPR-efterlevnad som en checklista blev frågan om dataöverföringar till USA plötsligt något som faktiskt får ekonomiska följder. I min erfarenhet av webbdrift är det här ett mönster som återkommer. Juridiska krav tas på allvar först när en myndighet visar att de är beredda att döma ut verkliga sanktioner. Läs hela IMY:s beslut.

Personuppgiftsbiträdesavtal och vad du faktiskt ska kontrollera

GDPR kräver att du tecknar ett personuppgiftsbiträdesavtal (PBA, eller Data Processing Agreement på engelska) med varje leverantör som behandlar personuppgifter för din räkning. Det gäller ditt webbhotell om din webbplats samlar in, lagrar eller behandlar data om dina besökare eller kunder.

Men ett signerat avtal är inte i sig tillräckligt. Dokumentet ska specificera var data lagras, hur länge, vem som har åtkomst och hur en eventuell dataintrång ska rapporteras. En del webbhotell tillhandahåller färdiga, genomtänkta PBA-mallar. Andra erbjuder formuleringar som är väl vaga, och i vissa fall hänvisar avtalet till underbiträden i tredjeland utan att det framgår tydligt.

Frågan att ställa till ditt webbhotell är inte bara "har ni ett PBA?". Fråga konkret: i vilket land lagras datan fysiskt, och har ni underbiträden som hanterar data utanför EU? Svaret på den frågan avslöjar mer än något annat.

Varför svenska servrar förenklar efterlevnaden

När du väljer ett webbhotell med egna datacenter i Sverige händer flera saker på en gång. Data lagras inom EU. Leverantören är ett bolag under svensk och europeisk jurisdiktion. GDPR och Datainspektionens (numera IMY, Integritetsskyddsmyndigheten) regler gäller. Det behövs inga komplicerade standardavtalsklausuler för tredjelandsöverföringar, inga kompletterande tekniska åtgärder, ingen löpande bevakning av om ett nytt adekvansbeslut håller.

Oderland är ett tydligt exempel. Bolaget driver egna datacenter i Sverige och är helägt av grundarna utan koppling till utländska ägarkoncerner. Det gör att Oderland kan erbjuda en datahemvist utan den juridiska komplexitet som följer med USA-ägda alternativ. Inleed, med datacenter i Falun och Tällberg, är ett annat exempel på ett bolag där full svensk datahemvist är ett faktum, inte en marknadsföringsfras.

Det handlar inte om att utländska leverantörer nödvändigtvis är slarviga med din data. Det handlar om vilken jurisdiktion som gäller och hur enkel din compliance-dokumentation behöver vara.

En stor, USA-ägd aktör kan fortfarande vara ett lagligt val

Det är viktigt att nyansera bilden. Att använda en tjänst från ett USA-ägt bolag är inte automatiskt ett brott mot GDPR. Med rätt skyddsåtgärder, standardavtalsklausuler, Transfer Impact Assessments och tekniska kompletteringsåtgärder som kryptering, kan det vara möjligt att upprätthålla lagenlighet. Många stora europeiska organisationer gör det varje dag.

Men det kräver resurser, juridisk kompetens och löpande arbete. För ett litet eller medelstort företag, en e-handlare, en konsultverksamhet eller en ideell förening, är det administrativt betungande. Väljer du en leverantör med datacenter och ägande i Sverige eller Europa slipper du en stor del av den komplexiteten.

Praktiska steg att ta

Om du är osäker på din nuvarande leverantörs datahemvist, börja med att leta upp integritetspolicyn och PBA-dokumentet. Kontrollera specifikt om det hänvisas till datacenters i USA, eller om ägarstrukturen pekar mot ett amerikanskt moderbolag.

Har du kunder vars data du behandlar, till exempel via ett kontaktformulär, e-handel eller en inloggad kundportal, gäller GDPR fullt ut. Hosting av statiska sidor utan insamling av personuppgifter är en annan sak, men de allra flesta hemsidor samlar in mer data än man tror.

Vill du fördjupa dig i GDPR-kraven specifikt för din hemsida finns en genomgång i vår GDPR-checklista för hemsidan. En samlad bild av GDPR-anpassade webbhotell med EU-baserade datacenter finns också på Webguide.se.

Serverns placering är sällan den första frågan man ställer när man väljer webbhotell. Men det är ofta den fråga som har störst juridisk och praktisk betydelse på sikt.