Dec 12, 2025

Data hos amerikanska levarantörer - status Dec 2025

Är vi säkra på att vår data inte missbrukas av amerikanska myndigheter eller företag med nära band till myndigheterna? Det är den grundläggande frågan vi behöver ställa oss.

Är data säkert hos amerikanska leverantörerImage: Från Max Schrems post

Det är inte lagar och regler som styr längre

Eftersom den amerikanska administrationen kontinuerligt bryter mot just lagar och regler så är frågan inte enbart vad som är lagligt, utan vad som i praktiken sker och om vi verkligen kan lita på att inte övertramp sker. Detta är en fråga alla företag måste ställa sig idag. Det är inte en enkel fråga, men den måste ställas och frågan kan inte längre bara sopas under mattan, risken måste hanteras, precis som alla andra risker i våra företag.

Det finns alltså två parallella spår vi måste hantera.

  1. Lagar och regler
  2. Kan vi lita på USA

Det som gör detta extra bekymmersamt är att vi inte lär märka när vår data missbrukas. När vi upptäcker det har garanterat skadan redan skett (som med t.ex PRISM). Detta gäller oavsett om USA följer lagar / regler eller inte. När amerikanska myndigheter begär ut information enligt Cloud Act eller Fisa behöver detta inte meddelas på något sätt till den berörda, det sker helt i det dolda.

Så när vi upptäcker att det sker, är det för sent. Som med all risk skall risker hanteras proaktivt.

Resten av posten kommer fokusera på punkt 1, men idag är kanske punkt 2 ändå viktigast. Kan vi lita på att USA följer lagar och regler och hur påverkar det hur vi skall agera vad avser vår data.

Max Schrems går igenom status

Läget är oroande minst sagt vad gäller USAs agerande vad avser dataintegritet och datasäkerhet. Lagar och regler utmanas kontinuerligt av USAs adminstration under Trumps ledning. Vad är aktuell status och vad finns det för risker just nu, i december 2025. Max Schrems som utmanat såväl amerikanska myndigheter som företag (Schrems I och Schrems II etc).

I en bloggpost på sin organisation NOYB går Max Schrems igenom de största riskerna just nu. De styrker precis de farhågor jag själv lyft i flertalet poster tidigare. Framför all punkt 2 och 3 är något jag skrivit mycket om i tidigare poster och extra intressant att EO 14086 utmanas igen. Den har överlevt betydligt längre än många trott.

Listar de övergripande delarna här, men för den intresserade rekommenderas verkligen att läsa hela Max Screms post med titeln "EU-US Data Transfers: Time to prepare for more trouble to come". Få har samma kunskap och djup som Max Schrems på denna punkt.

  1. Att högsta domstolen kan besluta (Trump v Slaughter) att FTC inte är en oberoende del utan skall lyda under presidenten. Skulle detta ske är det en maktkoncentration vi inte sett på väldigt länge.
  2. Oversight tveksamt as-is men ser inte ut att bli bättre. Hänger ihop med 1 också, då området blir obsolete om Trump ändå är kung (punkt 1).
  3. Executive Order 14086. Den EO som styr bl.a. EU-US DPF har varit utmanad sen dag ett under Trump och är även specifikt nämnd i Project 2025 där dessutom författaren nu är lobbyist på Meta.

Skillnaden mellan TADPF / EU-US DPF och Cloud Act / Fisa mm

Lite struktur-repetition kanske kan vara aktuellt också:

  1. TADPF / EU-US DPF. Avtal som ger EU företag lagligt stöd i att föra över person data till godkända företag i USA. Helt orelaterat till Cloud Act och Fisa samt data som inte är person data.
  2. Cloud Act / Fisa. Lagar som trumfar TADPF / EU-US DPF och dessutom gäller all data. Dessa kan tillämpas på all data var som helst i välrden som kan anses påverkas av amerikanska personer eller företag. Notera "påverkar" här. Detta gäller alltså inte bara amerikanska bolag och data bara i USA vilket är en generell uppfattning. Det kan vara ett svenskt företag som har sin data i ett Azure data-center i Sandviken. Det kan vara ett svenskt bolag där det finns ägare / styrelse som är amerikanska etc etc.

Många går vilse här. Då GDPR efterföljs genom att data är i ett datacenter i Sandviken så ger det att många känner sig lugna i att all data är säker. Det är den inte, då Cloud Act och Fisa båda trumfar EU-US DPF (GDPR är helt irrelevant för USA rent lagligt så klart) och således kan vilket information som helst begäras ut under lagarna Cloud Act och Fisa, inklusive person data.

Sammanfattning

Repeterar frågan från ingressen.

Är vi säkra på att vår data inte missbrukas av amerikanska myndigheter eller företag med nära band till myndigheterna?

Oavsett lagar, regler eller avtal, så är det den frågan varje företag och person måste ställa sig idag dessvärre.

Skickar med en uppmaning att fundera på.

Hur hanterar ni denna fråga i ert företag och vilka eventuella planer och åtgärder har ni gjort?

Länkar till mina tidigare poster på området för den som vill fördjupa sig:

Microsoft vill blidka företag i EU, jag har gått igenom detaljerna

Datan hos amerikanska leverantörer? Är lagligt eller säkert viktigast?

Svenska företags data inte längre säker hos amerikanska molnleverantörer.

Snart kan det bli olagligt att ha data på Azure, AWS och Google Cloud

Varför EU bötfäller Google och Facebook - för din skull

Amerikanska moln är inte riskfria


© 2025 Fredrik Stenbeck.