Opsio - Cloud and AI Solutions
Security4 min read· 902 words

GDPR och molntjänster – svenska företagets guide till dataskydd

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Published: ·Updated: ·Reviewed by Opsio Engineering Team

Quick Answer

Snabbsvar: GDPR (General Data Protection Regulation) är EU:s dataskyddsförordning som trädde i kraft 25 maj 2018 och har direkt tillämpning i samtliga medlemsländer. I Sverige kompletteras GDPR av Dataskyddslagen och sektorspecifik lagstiftning. Förordningen reglerar hur organisationer får samla in, behandla, lagra och dela personuppgifter. Böter kan uppgå till 20 miljoner euro eller 4 procent av global omsättning – det högre. Tillsynsmyndighet i Sverige är Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen). För molntjänster väcker GDPR särskilda frågor efter Schrems II-domen 2020: hur säkerställer ni skyddet när data potentiellt kan nås av amerikanska myndigheter? Denna guide förklarar de faktiska kraven, hur ni hanterar molnleverantörer, vad ett DPA måste innehålla och vilka praktiska steg som leder till dokumenterad efterlevnad . GDPR – sju grundprinciper GDPR:s sju principer – grunden för allt ni gör Laglighet, korrekthet och transparens: Ni måste ha en laglig grund och vara tydlig med användarna Ändamålsbegränsning: Använd data bara för det syfte

Key Topics Covered

Gratis pentest

Få en kostnadsfri säkerhetsgranskning mot NIS2 & Cybersäkerhetslagen.

Ansök

Snabbsvar: GDPR (General Data Protection Regulation) är EU:s dataskyddsförordning som trädde i kraft 25 maj 2018 och har direkt tillämpning i samtliga medlemsländer. I Sverige kompletteras GDPR av Dataskyddslagen och sektorspecifik lagstiftning. Förordningen reglerar hur organisationer får samla in, behandla, lagra och dela personuppgifter. Böter kan uppgå till 20 miljoner euro eller 4 procent av global omsättning – det högre. Tillsynsmyndighet i Sverige är Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen). För molntjänster väcker GDPR särskilda frågor efter Schrems II-domen 2020: hur säkerställer ni skyddet när data potentiellt kan nås av amerikanska myndigheter? Denna guide förklarar de faktiska kraven, hur ni hanterar molnleverantörer, vad ett DPA måste innehålla och vilka praktiska steg som leder till dokumenterad efterlevnad.

GDPR:s sju grundprinciper visualiserade som hexagonala noder kring en central skyddssköld.
GDPR – sju grundprinciper

GDPR:s sju principer – grunden för allt ni gör

  1. Laglighet, korrekthet och transparens: Ni måste ha en laglig grund och vara tydlig med användarna
  2. Ändamålsbegränsning: Använd data bara för det syfte ni samlade in det
  3. Uppgiftsminimering: Samla bara det ni behöver
  4. Korrekthet: Håll data uppdaterad, radera felaktig data
  5. Lagringsminimering: Spara inte längre än nödvändigt
  6. Integritet och konfidentialitet: Tekniska och organisatoriska säkerhetsåtgärder
  7. Ansvarsskyldighet: Kunna visa efterlevnad – dokumentation är allt

Rollerna – vem är personuppgiftsansvarig respektive biträde?

Personuppgiftsansvarig (controller): Den som bestämmer syfte och medel för behandlingen. Normalt er organisation.

Personuppgiftsbiträde (processor): Den som behandlar data åt er. Alla molnleverantörer, SaaS-leverantörer och konsulter som hanterar era personuppgifter.

Mellan er och varje biträde måste det finnas ett Data Processing Agreement (DPA) enligt artikel 28. DPA:et ska specificera föremål, varaktighet, syfte, typ av personuppgifter, era instruktioner och biträdets säkerhetsåtgärder. Alla stora molnleverantörer erbjuder standard-DPA online.

Kostnadsfri experthjälp

Behöver ni hjälp med Security?

Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom Security. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör
50+ certifierade ingenjörerAWS Advanced Partner24/7 support
Helt kostnadsfritt — ingen förpliktelseSvar inom 24h

Schrems II – varför amerikanska molnleverantörer blev mer komplicerade

I juli 2020 ogiltigförklarade EU-domstolen Privacy Shield, ramen som reglerade persondataöverföring mellan EU och USA. Bakgrunden: amerikansk övervakningslagstiftning (FISA 702, EO 12333) ansågs inte ge tillräckligt skydd.

Konsekvensen för molntjänster: även om ni lagrar data i en EU-region kan den amerikanska moderkoncernen tekniskt nås av amerikanska myndigheter. För att använda amerikanska molnleverantörer lagligt behövs:

  • Standard Contractual Clauses (SCC)
  • Transfer Impact Assessment (TIA)
  • Kompletterande tekniska skyddsåtgärder: kryptering där ni behåller nycklarna (BYOK), pseudonymisering, tokenisering

Nya EU-US Data Privacy Framework (2023) återställer en del av trafikbryggan, men flera juristkretsar och aktivister har redan utmanat den i domstol. Försiktig design förutsätter fortsatt teknisk separation.

Praktiska GDPR-krav på IT-driften

  • Kryptering i vila och i transit: TLS 1.2+ och KMS-baserad kryptering. Standardpraxis på alla stora moln.
  • Åtkomstloggning: Alla åtkomster till persondata ska kunna spåras – CloudTrail, Azure Activity Log, Cloud Audit Logs.
  • Multifaktorautentisering för alla administratörer och användare med känsligt åtkomst.
  • Dataraderingsprocesser: Individens rätt att bli glömd kräver att ni faktiskt kan radera personuppgifter – inte bara i den primära databasen utan också i backuper, analysverktyg och loggar.
  • Incidentrapportering: Personuppgiftsincidenter måste rapporteras till IMY inom 72 timmar vid trolig risk.
  • Konsekvensbedömningar (DPIA): För nya system som behandlar känsliga data eller stor skala.

IMY:s svenska tillsyn – vad de tittar på

IMY genomför både klagomålsbaserade och proaktiva tillsynsärenden. Domar och beslut från senaste åren visar fokus på:

  • Missbruk av Google Analytics och liknande verktyg (Schrems II-relaterat)
  • Felaktig rättslig grund för marknadsföring
  • Otillräckliga rutiner för incidentrapportering
  • Bristande information till registrerade
  • Svaga DPA:n med biträden

Svenska böter hittills: Klarna (7,5 mkr, 2022), Stockholms stad (4 mkr, 2023), flera mindre företag i 100 000 – 1 mkr-intervallet.

Relaterade guider i kunskapsbasen

FAQ – Vanliga frågor om GDPR och molntjänster – svenska företagets guide till dataskydd

Hur skiljer sig GDPR från den svenska Dataskyddslagen?

GDPR är direkt tillämplig EU-förordning. Dataskyddslagen (2018:218) kompletterar GDPR med specifikt svenska bestämmelser – till exempel kring journalistik, arkiv och forskning. Sektorslagstiftning (patientdatalagen, brottsdatalagen) kan också avvika från eller skärpa GDPR inom sina områden.

Är AWS, Azure och Google Cloud GDPR-kompatibla?

Ja, förutsatt korrekt konfiguration. Samtliga erbjuder DPA, EU-lagring och har certifieringar (ISO 27018, C5 i Tyskland). Ansvaret är dock delat – ni måste konfigurera tjänsterna så att data faktiskt stannar i EU, kryptering aktiveras och åtkomsten loggas. Schrems II-frågan kvarstår och kräver kompletterande åtgärder för känsliga data.

Vad är en Data Processing Agreement (DPA)?

Ett avtal mellan personuppgiftsansvarig och personuppgiftsbiträde enligt artikel 28 GDPR. Reglerar hur biträdet får behandla data, vilka säkerhetsåtgärder som ska finnas, hur sub-processorer får användas, och hur data ska återlämnas eller raderas vid avtalets slut. Alla stora molnleverantörer erbjuder standard-DPA – läs igenom och förstå innan ni accepterar.

Vad händer om vi inte anmäler en incident i tid?

Utebliven eller försenad rapportering till IMY är i sig en GDPR-överträdelse. Beslut har resulterat i böter även i fall där den ursprungliga incidenten varit förhållandevis mild – försvårandet ligger i att inte ha hanterat den korrekt.

Kan vi använda en amerikansk molnleverantör för personuppgifter?

Ja, med korrekt kontraktuellt och tekniskt skydd. Räkna med att: (1) välja EU-region, (2) ha SCC och aktuell EU-US DPF-anmälan på plats, (3) genomföra en Transfer Impact Assessment, (4) kryptera känsliga data med nycklar ni själva äger där det är praktiskt möjligt. För särskilt känsliga personuppgifter (hälsa, barn, politisk åsikt) överväg en europeisk leverantör.

GDPR och molntjänster – svenska företagets guide till dataskydd med Opsio

Opsio är en svensk managed cloud-leverantör med AWS Premier Tier-status och över 15 års erfarenhet av att driva molnmiljöer för svenska företag i reglerade branscher. Vi hjälper er från strategi till löpande drift – med svensk fakturering, lokal support och dokumenterad efterlevnad mot NIS2, GDPR och DORA. Boka en konsultation för att diskutera ert behov.

Relaterad läsning

Written By

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO at Opsio

Fredrik is the Group Chief Operating Officer and Chief Information Security Officer at Opsio. He focuses on operational excellence, governance, and information security, working closely with delivery and leadership teams to align technology, risk, and business outcomes in complex IT environments. He leads Opsio's security practice including SOC services, penetration testing, and compliance frameworks.

View all articles →LinkedIn

Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.