Tillbaka till Insikter
DATA OCH JURIDIK

Datasuveränitet i praktiken, varför svensk hosting spelar roll

Av Joakim Klintred, medgrundare och vd

Datasuveränitet är inte ett marknadsföringsord. Det är en juridisk realitet som avgör vem som kan begära ut er data, var den får lagras och vilka risker ni tar när säkerhetssystem flyttar in i molnet. Här är vad det innebär i praktiken.

Vad datasuveränitet faktiskt betyder

Datasuveränitet är principen att den data ni genererar styrs av lagstiftningen i det land där den lagras och behandlas, samt av lagstiftningen i de länder där leverantören har sitt säte. För säkerhetsdata, som ofta innehåller bilder på människor, fordon, passeringar och rörelsemönster, är detta avgörande. Det är inte bara en fråga om GDPR, utan om vem som juridiskt kan tvinga fram tillgång till er data. Vi har samlat kravbilden i en översikt över regelefterlevnad.

CLOUD Act och det som ofta missas

Amerikanska CLOUD Act ger amerikanska myndigheter rätt att begära ut data från amerikanska bolag oavsett var datan fysiskt ligger. Det innebär att en svensk verksamhet som lagrar säkerhetsdata hos en amerikansk leverantör i Europa, i juridisk mening, fortfarande är åtkomlig för amerikanska myndigheter. Det är en problematik som är väldokumenterad men sällan diskuterad i upphandlingar av säkerhetssystem.

NIS2 och CER skärper kraven

NIS2 och CER-direktivet ställer krav på leveranskedjans säkerhet, inte bara på det egna systemet. Det betyder att verksamheter som omfattas behöver kunna redogöra för var leverantörens data och drift ligger, vilka underleverantörer som har åtkomst och hur incidenter rapporteras. Att välja en svensk leverantör med svensk drift är ett enkelt sätt att korta den kartläggningen och minska risken för regulatoriska överraskningar.

Vad ”svensk hosting” bör innebära

Det räcker inte med att en serverhall står i Sverige. För att hostingen ska vara suverän behöver driftbolaget vara svenskt eller åtminstone europeiskt, supporten ska hanteras inom samma jurisdiktion och underleverantörer ska kunna granskas. Datan ska inte flyttas över gränsen för säkerhetskopiering eller analys utan att det är dokumenterat och tillåtet.

Praktiska konsekvenser för säkerhetsdata

Säkerhetsdata är ofta mer känslig än man tror. Videoström från en grind, en loggad inpassering eller en larmhistorik kan i fel händer användas för att kartlägga rutiner, identifiera personal eller planera angrepp. När den datan ligger utanför svensk jurisdiktion kan ni inte själva avgöra vem som får ta del av den i en juridisk process. Det är en risk få verksamhetsansvariga är beredda att ta när alternativet finns. Grunden för att kunna agera på ett läckage i tid är samma händelsekedja som beskrivs i vår artikel om eventbaserad säkerhet.

Så hanterar Sitewatch det

Ingen säkerhetsdata lämnar EU. Drift och lagring sker hos svensk hostingleverantör, så att ni och er partner kan dokumentera hela leveranskedjan i er egen NIS2- eller CER-rapportering. Det är inte ett tillval, det är hela utgångspunkten i plattformen.

Vad ni bör göra nu

Inventera era nuvarande säkerhetssystem och kartlägg var datan ligger, juridiskt och fysiskt. Begär in dokumentation från era leverantörer på samma sätt som ni gör för IT-system. Och sätt en tydlig princip för framtida upphandlingar, så att datasuveränitet är ett av baskraven och inte något som bedöms i efterhand.

Vanliga frågor

Vad betyder datasuveränitet i praktiken?

Att du vet var din data lagras, vilken lagstiftning den lyder under och vem som kan tvinga fram åtkomst. För videodata handlar det om var inspelningar sparas, vem som driftar plattformen och vilket lands myndigheter som kan begära ut materialet.

Varför räcker det inte att servern står i EU?

Den amerikanska CLOUD Act från 2018 ger amerikanska myndigheter rätt att inom ramen för brottsutredningar begära ut data från leverantörer som lyder under amerikansk jurisdiktion, oavsett var datan fysiskt lagras. Även dotterbolag till amerikanska bolag omfattas. En leverantör utan koppling till amerikansk jurisdiktion omfattas inte. Det är alltså hela leverantörskedjan som avgör, inte serverns adress.

Vad säger GDPR om kamerabevakningsmaterial?

Inspelningar där personer kan identifieras är personuppgifter enligt GDPR. Det ställer krav på rättslig grund, begränsad lagringstid, informationsplikt till dem som bevakas och kontroll över alla personuppgiftsbiträden i kedjan, inklusive var materialet lagras och vem som har åtkomst.

Varför väljer verksamheter svensk drift?

Den juridiska skillnaden är stor. eSam-samarbetet mellan statliga myndigheter och SKR har pekat på sekretessrisker när molnleverantörer omfattas av utländsk lagstiftning som till exempel CLOUD Act. Svensk drift hos leverantör under svensk jurisdiktion förenklar tredjelandsbedömningar enligt GDPR och minskar friktionen i upphandlingar där dataskydd väger tungt.

Källor

NÄSTA STEG

Vill ni veta var er data hamnar?

Vi går gärna igenom hur Sitewatch hostas, vilka servrar som används och vad det betyder för er regelefterlevnad.