Senast uppdaterad: Juni 2026
Svenska Försvarsmakten kommer inte att använda molntjänster från Google, Amazon eller Microsoft för hemliga uppgifter. Chefen för Militära underrättelse- och säkerhetstjänsten (MUST), Thomas Nilsson, bekräftade risken i SVT: om en leverantör kan tvingas stänga ner, komma åt eller dela vår information, är det uppenbart bekymmersamt. Beslutet gäller försvaret. Men analysen gäller alla som har en lagstadgad skyldighet att skydda den information de hanterar. Advokatbyråer, revisionsbyråer och finansiella rådgivare som lagrar klientdokument på amerikanska molnplattformar har samma exponering. De flesta har inte gjort bedömningen.
Försvarsmaktens nya molnstrategi slår fast att amerikanska bolag har en långtgående skyldighet att överlämna information till amerikanska myndigheter. Två amerikanska lagar styr: Foreign Intelligence Surveillance Act (FISA) och Cloud Act. Båda ger amerikanska myndigheter rätt att kräva ut data från amerikanska bolag oavsett var servrarna fysiskt befinner sig.
En intern rapport som cirkulerar bland svenska säkerhetsmyndigheter, som SVT tagit del av, går längre. Den konstaterar att molnleverantörer genom sin kontroll över infrastrukturen i praktiken har teknisk möjlighet att komma åt data i klartext, trots påståenden om kryptering. Microsoft Sveriges VD har svarat att bolaget kommer bestrida sådana order. Fredrik Blix, cybersäkerhetsforskare vid Stockholms universitet, påpekar att ingen organisation kan garantera fullständigt skydd om leverantören behåller åtkomst till servrarna.
Regeringen har gett Försvarsmakten, Säpo, FRA och FOI i uppdrag att skissa på en egen svensk molnlösning. Riksdagsledamöter har ställt formella frågor om europeiskt tekniskt oberoende. Diskussionen har lämnat stadiet "är detta ett problem" och nått stadiet "hur fort kan vi agera."
I samtal med advokatbyråer, revisionsbyråer och finansiella rådgivare hör vi samma sak: många ansvariga ligger sömnlösa över frågan eftersom de upplever att de saknar alternativ. Under den nuvarande amerikanska administrationen har oron för US-kontrollerad molninfrastruktur ökat markant. Det är inte längre en akademisk fråga om jurisdiktion. Det är en operativ fråga om vem som kan komma åt dina klienters data.
Advokatbyråer, revisionsbyråer och finansiella rådgivare hanterar information som ofta är mer känslig än vad som finns i en genomsnittlig myndighets arkiv: klientidentiteter, transaktionsunderlag, aktieägaravtal, revisionsunderlag, skattehandlingar, due diligence-material och regulatoriska anmälningar. Informationen skyddas av advokatsekretess, revisorssekretess, av GDPR och i många fall av penningtvättslagstiftning (AMLR, förordning (EU) 2024/1624).
Ändå lagras den i stor utsträckning på samma amerikanska plattformar som Försvarsmakten nu har bedömt som otillräckliga.
Det är inte serverplaceringen som avgör vilken lagstiftning som gäller. Det är moderbolagets hemvist. Ett amerikanskt bolag med servrar i Frankfurt lyder fortfarande under Cloud Act. En advokatbyrå, revisionsbyrå eller finansiell rådgivare som lagrar klientdokument på en plattform kontrollerad av ett amerikanskt bolag måste kunna svara på frågan: vad händer om en amerikansk myndighet kräver tillgång? MUST har gett oss svaret.
De flesta professionella tjänsteföretag använder idag en kombination av Microsoft 365, SharePoint och en e-signaturplattform. Varje led innebär att data passerar genom infrastruktur som kontrolleras av bolag med huvudkontor i USA.
Klientdokument delas som e-postbilagor eller via SharePoint-länkar. I praktiken innebär det att bilagor med känsligt innehåll kopieras till servrar som faller under amerikansk jurisdiktion. Signaturer görs via plattformar vars revisionsloggar lagras på leverantörens servrar. Identitetsverifiering, om den alls sker, använder ofta samma amerikanskt kontrollerade infrastruktur.
Enligt GDPR artikel 32 ska tekniska åtgärder vara anpassade till datats känslighet. Klientidentiteter, ekonomisk dokumentation, revisionsunderlag, skattehandlingar och privilegierad juridisk kommunikation tillhör de mest känsliga kategorier ett professionellt tjänsteföretag hanterar. Att lagra dem på plattformar där en utländsk stat har rättslig möjlighet att kräva åtkomst uppfyller inte detta krav.
| Exponering | Typisk miljö idag | Alternativ med EU-kontrollerad infrastruktur |
|---|---|---|
| Dokumentlagring | SharePoint/OneDrive (Microsoft, USA) | ZealiD Trust Circle, egna EU-datacenter |
| E-signatur | Amerikansk plattform med US-lagrad revisionslogg | QES i PAdES-format, signeringscertifikat inbäddat i dokumentet |
| Identitetsverifiering | Passfoton via e-post, ingen reglerad process | eIDAS-reglerad identifiering via QTSP |
| Åtkomstkontroll | Lösenord eller delade länkar | Biometrisk åtkomst per verifierad individ |
| Jurisdiktion vid datakrav | Cloud Act, FISA (USA) | GDPR, eIDAS (EU) |
Alternativet är inte att sluta använda digitala verktyg. Det är att välja verktyg där hela kedjan kontrolleras av europeiska aktörer under europeisk lagstiftning.
ZealiD driver egen infrastruktur, certifierad av informationssäkerhetsrevisorer hos TüViT och notifierad till EU av Post- och telestyrelsen (PTS). ZealiD:s status som Qualified Trust Service Provider (QTSP) på EU:s betrodda lista innebär löpande tillsyn, årlig ISMS-revision av ett ackrediterat Conformity Assessment Body, och publikt tillgänglig dokumentation. All data lagras och behandlas i ZealiD:s egna datacenter inom EU. Ingen del av infrastrukturen kontrolleras av ett bolag med hemvist utanför EU.
Trust Circle ger advokatbyråer, revisionsbyråer och finansiella rådgivare en säker arbetsyta för varje klientrelation. Varje deltagares identitet verifieras genom en EU-reglerad process. Dokument delas och lagras med fullständig revisionsspårning. Kvalificerade elektroniska signaturer appliceras direkt i arbetsytan med Face ID eller Touch ID. Ingen data lämnar europeisk infrastruktur.
Kartlägg var klientdata faktiskt lagras. Gå igenom varje plattform verksamheten använder för dokumentlagring, fildelning, e-signatur och identitetsverifiering. Identifiera vilka som kontrolleras av bolag med hemvist i USA. De flesta verksamheter blir förvånade över andelen.
Bedöm den juridiska exponeringen under GDPR artikel 32 och det kommande AMLR-kravet (förordning (EU) 2024/1624, artikel 22). Om en amerikansk myndighet kräver ut data via Cloud Act, kan verksamheten skydda sina klienter? Om svaret är oklart, är det en risk som klienter och tillsynsmyndigheter i allt högre grad förväntar sig att den ansvariga partnern har hanterat.
Utvärdera europeiska alternativ som kombinerar identitetsverifiering, dokumenthantering och kvalificerad signering under EU-jurisdiktion. De kräver ingen ombyggnad av IT-miljön. De kräver ett aktivt beslut.
Försvarsmakten har gjort sin bedömning. Frågan är om din verksamhet har gjort sin.
SVT Nyheter. "Försvaret nobbar techjättarnas moln för hemliga uppgifter." 30 maj 2026. https://www.svt.se/nyheter/inrikes/forsvaret-nobbar-techjattarnas-moln-for-hemliga-uppgifter
SVT Nyheter. "Regeringen vill ha hemlig molnlösning för svenska säkerhetsoperationer." 25 april 2026. https://www.svt.se/nyheter/inrikes/regeringen-vill-ha-hemlig-molnlosning-for-svenska-sakerhetsoperationer
General Data Protection Regulation (GDPR), Regulation (EU) 2016/679, Article 32. European Union, 2016. https://eur-lex.europa.eu/eli/reg/2016/679/oj
Anti-Money Laundering Regulation (AMLR), Regulation (EU) 2024/1624, Article 22. European Union, 2024. https://eur-lex.europa.eu/eli/reg/2024/1624