25.06.24 / Nyhet
Nyheter inom Integritet & Dataskydd
JUNI 2025
Cookies, spårning och profilering i fokus
Våren har bjudit på ett intensivt nyhetsflöde inom dataskyddsområdet – med flera uppmärksammade beslut från IMY, särskilt kopplat till användning av cookies, spårningstekniker och rättslig grund vid profilering.
Tillsynsmyndigheterna har fortsatt att skärpa sin praxis, och det är tydligt att förväntningarna på både transparens, dokumentation och teknisk kontroll ökar.
I detta nyhetsbrev sammanfattar vi några av de mest relevanta händelserna från våren och ger konkreta insikter för dig som arbetar med dataskydd i praktiken.
Vi passar också på att önska en riktigt fin sommar – med förhoppning om både vila och nya perspektiv!
Anna Eidvall och Karin Schurmann
PS. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd via knappen nedan.
Söktjänsterna som vi känner dem - ett minne blott?
Fortsättningen kring söktjänsternas vara eller icke vara lät inte vänta på sig sedan vårt förra nyhetsbrev i december.
I februari i år avgjorde Högsta domstolen två mål om huruvida brottmålsdomar som begärts ut av en databasleverantör respektive en nyhetsbyrå omfattas av sekretess. HD slog fast att domarna bara fick lämnas ut med förbehåll som begränsar hur de får spridas till allmänheten och företagens kunder.
Bakom beslutet ligger HD:s bedömning att den ordning som lagstiftaren eftersträvat inte är förenlig med EU:s dataskyddsförordning (GDPR). Därför har domstolen valt att tolka den svenska offentlighets- och sekretesslagen i ljuset av GDPR – en väg som i praktiken flyttar maktbalansen mellan yttrande- och informationsfrihet å ena sidan, och integritetsskydd å den andra.
För att skapa en mer övergripande och förutsebar avvägning mellan dessa intressen krävs lagändringar – något som både Integritetsskyddsmyndigheten (IMY) (i hemställan IMY-2024-8036) och regeringen (i SOU 2024:75) redan har lyft.
En konkret följd av HD:s avgöranden är att aktörer som driver söktjänster i allt högre grad nekas tillgång till allmänna handlingar med brottsuppgifter. En annan är att IMY fortsätter att inleda nya tillsyner på området. Senast nu i veckan inledde IMY tillsyn mot söktjänsterna Upplysning.se och Mrkoll.se, för vilka IMY mottagit ett stort antal klagomål och som möjliggör att stora delar av Sveriges befolkning kan kartläggas utifrån t.ex. familjeförhållanden, boendeform och ekonomisk ställning. Samtidigt väntar ett viktigt förhandsavgörande från EU-domstolen som kan klargöra hur långt medlemsstater får gå i att inskränka den personliga integriteten i nationell lag.
Vi följer utvecklingen noga. Redan nu står det klart att söktjänsterna måste se över sina produkter – något som kommer få stora konsekvenser för de verksamheter som förlitar sig på tillgången till denna typ av information, inte minst bakgrundskontrollföretag.
Registrerades rättigheter är ingen one-stop-shop
Under våren beslutade IMY att Klarna hade brustit i sin skyldighet att underlätta för enskilda att utöva sina rättigheter enligt GDPR. Ärendet rörde en österrikisk kund som begärt tillgång till sina personuppgifter via Klarnas svenska kundtjänst. Begäran, som var formulerad på tyska, vidarebefordrades till den tyska kundtjänsten. I stället för att hantera ärendet hänvisade Klarna kunden först till en generell informationssida och därefter till den österrikiska kundtjänsten.
Enligt GDPR ska den personuppgiftsansvarige aktivt underlätta registrerades utövande av sina rättigheter, exempelvis rätten till tillgång och radering. IMY konstaterade att Klarna inte levde upp till detta krav, eftersom kunden skickades vidare snarare än att få sin begäran behandlad direkt. Myndigheten hänvisade till etablerad praxis, där behov av ytterligare insatser från individen inte anses uppfylla kravet på att ”underlätta”.
IMY noterade också att Klarna inte besvarat begäran inom den månad som föreskrivs i GDPR. Eftersom Klarna läkt bristen i efterhand tilldelades Klarna dock endast en reprimand.
Beslutet ligger i linje med tidigare praxis och tydliggör vikten av att personuppgiftsansvariga erbjuder smidiga processer för rättighetsutövning och har effektiva interna rutiner – även när ärenden landar hos "fel" avdelning. Det understryker också behovet av återkommande utbildning för relevanta funktioner inom organisationen, så att GDPR-kraven kan efterlevas i praktiken.
Har du koll på din kamerabevakning?
Kamerabevakning i brottsförebyggande syfte blir allt vanligare. Ett fastighetsbolag bedrev sådan bevakning vid en av sina fastigheter, men efter klagomål från enskilda beslutade IMY att bolaget måste upphöra med att övervaka en intilliggande väg.
När kamerabevakning kan identifiera personer räknas det som personuppgiftsbehandling – och omfattas därmed av GDPR. För att behandlingen ska vara laglig krävs därför en giltig rättslig grund. Bolaget hänvisade till berättigat intresse som rättslig grund. För att den ska vara tillämplig krävs tre saker: att det finns ett berättigat intresse, att behandlingen är nödvändig för att uppnå det, och att intresset väger tyngre än de registrerades rätt till personlig integritet.
IMY konstaterade att bolaget visserligen hade ett berättigat intresse och att kamerabevakningen var nödvändig för att tillgodose detta. Däremot ansåg myndigheten att de registrerades integritetsintresse vägde tyngre. Särskilt framhölls att vägen var nödvändig för att ta sig till allmän väg – och att de registrerade därmed inte kunde undvika att bli filmade.
Beslutet är en tydlig påminnelse om att kamerabevakning regelbundet måste omprövas. Den får bara ske när den är nödvändig och proportionerlig, och integritetsskyddet får aldrig åsidosättas – inte ens i syfte att stärka säkerheten.
Förvaltningsrätten fastställer sanktionsavgift mot Bonnier News
I våras bekräftade Förvaltningsrätten IMY:s beslut att ålägga Bonnier News en sanktionsavgift på 13 miljoner kronor för överträdelser av GDPR.
Bonnier News hade samlat in personuppgifter från externa källor, inklusive via cookies, utan giltigt samtycke. Dessa uppgifter kopplades sedan ihop med annan kunddata för att skapa marknadsföringsprofiler. Företaget hävdade berättigat intresse som rättslig grund, men både IMY och Förvaltningsrätten ansåg att integritetsintresset hos de registrerade vägde tyngre, och ansåg att sådan omfattande typ av profilering förutsätter individens samtycke.
Förvaltningsrätten betonade att den aktuella profileringen inte var något de registrerade rimligen kunde förvänta sig utan uttryckligt samtycke och att insamling av information via cookies kräver ett starkt skydd för individens integritet – ett skydd som inte kan kringgås genom att senare behandla personuppgifterna utan samtycke.
Domen ger en djupgående analys av när samtycke krävs vid profilering, en viktig fråga för företag som sysslar med anpassad marknadsföring. Att förstå de juridiska gränserna är avgörande för att navigera i detta komplexa område. Domen är överklagad till Kammarrätten.
Har ni koll på vilka personuppgifter som behandlas i era e-postsystem?
IMY har riktat en reprimand mot Sjukhusstyrelsen i Region Uppsala för bristande skydd av patientuppgifter i sin e-posttjänst. Tillsynen inleddes efter en anmälan om en personuppgiftsincident där det framkom att känsliga uppgifter, bland annat om hälsa, hade hanterats i e-postsystemet under flera års tid.
IMY bedömde att detta innebar en hög risk, dels på grund av uppgifternas känslighet och omfattning, dels eftersom många anställda använde e-posttjänsten i sin dagliga verksamhet. E-post bedöms som särskilt riskfyllt för personuppgiftshantering, då systemet är exponerat mot internet och det är svårt att kontrollera hur användarna faktiskt agerar.
Sjukhusstyrelsen hade infört vissa skyddsåtgärder, som interna riktlinjer och obligatoriska utbildningar. IMY ansåg dock att dessa inte var tillräckliga, särskilt eftersom känsliga uppgifter lagrats i systemet under lång tid utan att upptäckas. Det var dessutom upp till varje användare att identifiera och radera otillåten information, vilket IMY såg som en brist i det organisatoriska och tekniska skyddet.
Beslutet understryker (igen) vikten av att tekniska och organisatoriska åtgärder anpassas efter den typ av uppgifter som hanteras – och att särskilda risker med e-post måste beaktas för att uppnå en tillräcklig säkerhetsnivå.
Kammarrätten bekräftar sanktionsavgift mot Spotify
På temat registrerades rättighet har IMY tidigare beslutat att Spotify ska påföras en sanktionsavgift på grund av brister i hur företaget hanterade personuppgifter. Spotify överklagade och Förvaltningsrätten höll delvis med Spotifys och satte ned avgiften från 58 miljoner kronor till 40 miljoner kronor.
Kammarrätten går däremot på IMY:s linje och återställer sanktionsavgiften till 58 miljoner kronor. Domstolen konstaterar att Spotify inte uppfyllt kraven på tydlig och lättillgänglig information till registrerade vid utövandet av rätten till tillgång - bl.a. med hänvisning till att informationen inte varit anpassad till den registrerade. Trots att överträdelserna bedöms vara av lägre allvarlighetsgrad, anser kammarrätten att en sanktionsavgift är nödvändig för att säkerställa att åtgärden är effektiv, proportionell och avskräckande.
Domen understryker vikten av att företag noggrant följer GDPR:s krav på transparens vid rätten till tillgång. Det är avgörande att informationen som ges till registrerade är klar och begriplig, och anpassad till den registrerade. Samtidigt visar domen att rätten till tillgång kan levereras i olika lager så länge det är enkelt att få ut informationen i de olika lagren och att det är tydligt att informationen delas upp i olika lager.
IMY tilldelar KRY och Apotea reprimand för användning av META-pixel
Kry och Apotea har fått kritik från IMY efter att personuppgifter oavsiktligt överförts till Meta via Meta-pixeln, som företagen använt i marknadsföringssyfte på sina webbplatser.
I Krys fall överfördes kontaktuppgifter kopplade till bokning av videomöten, medan Apotea överförde både kontaktuppgifter och produkt-ID. Även om uppgifterna var hashade ansåg IMY att risken för identifiering och profilering var hög, eftersom uppgifterna riskerades att kombineras med annan användardata hos Meta.
Båda företagen fick en reprimand på grund av bristande tekniska och organisatoriska säkerhetsåtgärder. Beslutet ligger i linje med tidigare beslut under 2024 mot bolag inom Länsförsäkringar. men skiljer sig från tillsynsbesluten mot Apotekets och Apohems på samma tema där sanktionsavgifter påfördes.
Verksamheter som använder verktyg som Meta-pixeln behöver säkerställa rigida interna rutiner för att säkerställa löpande uppföljning kring vilka tjänster som används och vilka uppgifter som delas, samt dokumentera de beslut och bedömningar som görs. Rätt tekniskt skydd och intern kontroll är avgörande för att uppfylla grundläggande krav i GDPR.
IMY har mer fokus på cookies
IMY fortsätter sin tillsyn på spårningsområdet med ytterligare tillsynsbeslut som berör utformningen av cookiebanners och samtycke till personuppgiftsbehandling. I förra nyhetsbrevet rapporterade vi om bristerna i Warner Musics cookiebanner. Nu har även ATG och Aller Media fått en reprimand för brister i hur de informerar om och inhämtar samtycke för användning av spårningstekniker.
IMY:s granskning har koncentrerat sig på den efterföljande behandlingen av personuppgifter som samlats in med hjälp av cookies men kommenterar på hur dessa företag informerar om och inhämtar samtycke till cookies via cookiebannern. ATG får en reprimand för att ha gjort det svårare att återkalla samtycke (än att lämna det) och för att ha använt en vilseledande cookiebanner. Designen av bannern försvårade för användare att neka cookies, vilket strider mot kraven på frivilligt och informerat samtycke. Aller Media kritiseras för att ha behandlat personuppgifter utan rättslig grund, genom att hänvisa till berättigat intresse utan att motivera detta eller genomföra en faktisk intresseavvägning, vilket strider mot GDPR:s grundläggande principer.
IMY har valt att ge reprimander istället för sanktionsavgifter, med hänvisning till proportionalitetsprincipen i GDPR. Överträdelserna bedöms inte vara tillräckligt allvarliga för att motivera sanktionsavgifter, särskilt med tanke på behandlingens begränsade omfattning, företagens samarbetsvilja, och avsaknaden av tidigare liknande överträdelser.
IMY:s tillsyn visar på en ökad risk för tillsyn inom detta område. Vi rekommenderar att ni ser över era rutiner för hantering av spårningstekniker och för inhämtande/återkallande av samtycke för att säkerställa att de följer GDPR:s krav och tillsynsmyndigheternas praxis och rekommendationer, som de senaste åren blivit både konkreta och tydliga.
Nästan hälften av alla rapporterade IT-incidenter orsakas av misstag eller systemfel
I början av året publicerade Myndigheten för samhällsskydd och beredskap (MSB) sin årliga rapport om IT-incidenter i svenska organisationer. Syftet är att ge en lägesbild av cybersäkerheten samt erbjuda konkreta rekommendationer för att stärka den digitala motståndskraften mot cyberangrepp.
Enligt rapporten orsakades nästan hälften av de rapporterade incidenterna under 2024 (exklusive följdstörningar) av misstag eller systemfel, medan en femtedel berodde på faktiska angrepp. Resultatet ligger i linje med tidigare år, men skiljer sig från 2023, då angrepp var den vanligaste orsaken. Dessutom noterades en ökning av incidenter kopplade till digitala leveranskedjor – en särskilt allvarlig typ av störning som kan slå ut stora delar av samhället samtidigt.
Ett tydligt exempel är ransomware-attacken mot Tietoevry 2024, som drabbade både offentliga och privata aktörer, inklusive kritiska funktioner inom hälso- och sjukvården.
Mot bakgrund av årets iakttagelser uppmanar MSB alla svenska organisationer att:
- Använda tillgängliga verktyg för ett systematiskt och riskbaserat cybersäkerhetsarbete,
- Etablera rutiner för rapportering av IT-incidenter,
- Avsätta resurser och skapa arbetssätt för säker ändringshantering, samt
- Se över leverantörskrav för att säkerställa transparens kring IT-incidenter.
Hela rapporten finns tillgänglig för nedladdning på MSB:s webbplats. Rapporten belyser vikten av att ha koll på sina leverantörskedjor – har du inte det kan du, förutom säkerhetsincidenter, riskera sanktionsavgifter. Så hände t.ex. Vodafone tidigare i år efter att den tyska dataskyddsmyndigheten granskat Vodafone GmbH:s partnerbutiker och digitala kundportal efter att ha mottagit extern information. Granskningen visade brister i Vodafones kontroll och tillsyn över dess partners samt tekniska svagheter som ledde till risk för missbruk av kunduppgifter – vilket också inträffade i vissa fall. Brister upptäcktes även i autentiseringsrutinerna för kundportalen, särskilt vid kombinerad användning med företagets kundtjänst, vilket kunde leda till felaktig hantering av eSIM-tjänster. Vodafone har vidtagit åtgärder för att åtgärda bristerna men fick betala totalt 45 miljoner euro i sanktionsavgifter samt en reprimand.
NYTT fokus för EDPD - rätten att bli glömd
I början av året meddelade den europeiska dataskyddsstyrelsen (EDPB) att de inleder sin fjärde samordnade europeiska granskning. Fokus skiftar nu från rätten till tillgång, som stod i centrum under 2024, till rätten till radering – även kallad "rätten att bli bortglömd".
Syftet är att fördjupa kunskapen om rätten till radering och utifrån detta genomföra riktade uppföljningar och tillsynsinsatser. Det är en rättighet som hör till de mest utnyttjade i GDPR – och också den som genererar flest klagomål hos tillsynsmyndigheterna.
Granskningen ska mynna ut i en gemensam europeisk rapport. Varje nationell tillsynsmyndighet har fått utforma undersökningen utifrån ett gemensamt frågeformulär. I Sverige, där granskningen redan har inletts, har IMY valt ut ett tjugotal större verksamheter att delta. Formuläret innehåller frågor om interna arbetsflöden och hur verksamheten bedömer sin hantering av rätten till radering. Deltagarna får också möjlighet att dela med sig av erfarenheter och utmaningar på området. IMY:s nationella rapport väntas i höst, medan den europeiska helhetsrapporten publiceras under 2026. Vår förhoppning är att resultatet ska ge värdefull vägledning för organisationer i deras fortsatta GDPR-arbete.
Pseudonymistering i fokus - generaladvokaten utmanar tidigare tolkning
I målet EDPS vs SRB har generaladvokaten lämnat sitt yttrande kring huruvida pseudonymiserade uppgifter – som mottagaren inte kan använda för att identifiera enskilda individer – utgör personuppgifter enligt GDPR. Bakgrunden är att Single Resolution Board (SRB) delade pseudonymiserade kommentarer med Deloitte utan att informera de registrerade. SRB hävdade att det inte rörde det sig inte om personuppgifter eftersom Deloitte inte kunde återidentifiera personerna.
EU-tribunalen gick på SRB:s linje, men generaladvokaten riktar skarp kritik mot den bedömningen. Generaladvokaten menar att pseudonymiserade uppgifter fortfarande kan omfattas av GDPR, om de kan kopplas till en individ – även om det bara är ursprungsorganisationen som kan göra kopplingen. Därför konstaterar generaladvokaten att pseudonymiserade uppgifter kan falla utanför begreppet "personuppgifter", men endast när risken för identifiering är obefintlig eller försumbar. Generaladvokaten betonar att uppgifterna fortfarande avser sina upphovspersoner och att SRB därför borde ha informerat de registrerade om personuppgiftsbehandlingen och överföringen. Generaladvokaten föreslår nu att ärendet återförvisas till tribunalen för ny prövning.
Pseudonymisering är en juridiskt komplex men central fråga inom dataskyddsområdet och utgör en viktig säkerhetsåtgärd vid behandling av personuppgifter. Beslutet i detta ärende får stor betydelse för hur gränserna för personuppgiftsbegreppet ska tolkas framöver och förväntan är att EU-domstolens tidigare breda tolkning i bl.a. Breyer-målet står sig.
OK att träna sina AI-modeller på användares data?
Meta meddelade i april att företaget kommer att börja träna sin AI-modell på öppna framtida och historiska data som användare över 18 år har offentliggjort på Facebook och Instagram. Träningen baseras på berättigat intresse och Meta har meddelat att de accepterar alla invändningar.
Låter detta bekant? Det beror på att Meta redan under 2024 gick ut med att de planerade att träna sina AI-modeller med användares data. Företaget valde dock att sätta planerna på paus efter kritik och flera klagomål, bland annat från den irländska myndigheten som hävdade att Metas planer kunde utgöra ett hot mot den personliga integriteten.
Metas träning av AI på användares uppgifter har väckt uppmärksamhet på flera håll. Många användare reagerar på att deras data används för detta ändamål eftersom det är innehåll av privat karaktär som används. Flera dataskyddsmyndigheter har uppmanat användare att invända mot behandlingen och den digitala rättighetsorganisationen NOYB har kritiserat Metas träning av AI, bland annat för att valet av rättslig grund. NOYB anser inte att Metas intresse av att träna AI väger tyngre än användarnas rätt till skydd för sina personuppgifter.
EDPB har tidigare uttalat sig om användningen av berättigat intresse som rättslig grund vid behandling av personuppgifter för AI-utveckling. I sitt yttrande betonar EDPB att berättigat intresse endast kan användas om tre förutsättningar är uppfyllda: ändamålet måste vara berättigat, behandlingen måste vara nödvändig för att uppnå detta ändamål, och en intresseavvägning måste visa att den registrerades rättigheter inte väger tyngre.
Exempel på tillämpningar som i vissa fall kan uppfylla dessa krav är AI-tjänster som samtalsassistenter eller verktyg för cybersäkerhet, förutsatt att behandlingen är strikt nödvändig och att användarnas rättigheter respekteras. EDPB lyfter även fram att dataskyddsmyndigheter bör ta hänsyn till om användarna rimligen kan förvänta sig att deras uppgifter används i detta syfte, vilket påverkas av faktorer som uppgifternas offentliga tillgänglighet, relationen till den personuppgiftsansvarige, tjänstens art och insyn i användningen.
Om en intresseavvägning visar att behandlingen innebär för stor negativ påverkan på individen, kan mildrande åtgärder i vissa fall minska den påverkan – till exempel genom tekniska skydd, ökad transparens eller bättre möjligheter för individen att utöva sina rättigheter.
EDPB understryker också att om en AI-modell har tränats på personuppgifter som behandlats i strid med lagen, kan detta påverka lagligheten i att använda modellen – såvida inte uppgifterna har anonymiserats på ett korrekt sätt.
Om du avser att förlita dig på berättigat intresse vid användning eller träning av AI – tänk på att dokumentera din avvägning!
EU-kommissionen föreslår lättnader i GDPR
I maj presenterade EU-kommissionen sitt fjärde s.k. omnibuspaket, med fokus på dataskydd och förenkling av GDPR. Syftet är att underlätta för små och medelstora företag att uppfylla regelverket, utan att kompromissa med skyddet för individers rättigheter och friheter. Paketet är en del av EU:s bredare arbete för att minska den administrativa bördan inom unionen.
En av huvudpunkterna i förslaget är att höja gränsen för undantag från skyldigheten att föra register över personuppgiftsbehandlingar, enligt artikel 30.5 i GDPR. Idag gäller undantaget för företag med upp till 250 anställda, men förslaget är att denna gräns höjs till 750 anställda – under förutsättning att behandlingen inte medför en ”hög risk” för de registrerades rättigheter och friheter. Detta är en tydligare skärpning jämfört med dagens krav där det räcker med att behandlingen medför en ”risk” för att undantaget inte ska gälla.
Ytterligare förändringar är att flera kriterier som tidigare beaktats vid bedömningen, exempelvis om behandlingen är tillfällig, gäller särskilda personuppgifter eller brottsrelaterad information, tas bort. Nu blir det i huvudsak antalet anställda och bedömningen av risknivån som avgör om undantaget kan tillämpas.
Förslaget öppnar också för att behandling av känsliga personuppgifter kan undantas från registerplikten om behandlingen sker på grund av en rättslig skyldighet. Förslaget har fått stöd från både den europeiska dataskyddsstyrelsen (EDPB) och den europeiska datatillsynsmannen (EDPS), och ligger nu för behandling i Europaparlamentet och rådet.
Förslaget är välkommet för många företag som länge har efterfrågat enklare regler och mindre administration. Däremot hade vi gärna sett fler lättnader som får större praktisk betydelse för företagen – utan att inskränka rätten till integritetsskydd för individen. För även om en höjning av gränsen för registerplikt kan minska den praktiska bördan, särskilt för mindre verksamheter som idag ofta kämpar med omfattande dokumentationskrav, kvarstår behovet av god kontroll över personuppgiftsbehandlingarna. GDPR:s grundläggande principer om transparens, säkerhet och ansvarstagande är oförändrade.
Har du en exit-strategi?
To be or not to be? Det har länge varit frågan kring möjligheten att använda amerikanska molntjänster i enlighet med GDPR. När EU–US Data Privacy Framework (DPF) antogs sommaren 2023 andades många ut – men lugnet blev kortvarigt.
I januari 2025 avsatte president Trump flera ledamöter i den oberoende myndigheten Privacy and Civil Liberties Oversight Board (PCLOB), ett nyckelorgan och en förutsättning för att DPF antogs. Resultatet? PCLOB stod utan beslutsförhet – och DPF skakade i grunden.
Nu har en federal domstol slagit fast att avsättningarna var olagliga. Domaren underströk att myndighetens oberoende är skyddat i lag och att en tillsynsmyndighet inte kan stå under direkt politisk kontroll – särskilt inte när dess uppdrag är att granska just den verkställande makten.
Samtidigt har avsättningarna redan fått praktiska konsekvenser. I Danmark har två av landets största kommuner – Köpenhamn och Aarhus – beslutat att fasa ut Microsofts molntjänster och kontorsprogram. Besluten är en tydlig markering mot både techjättarnas marknadsdominans och osäkerheten kring amerikansk dataskyddspraxis. Ekonomiska skäl och geopolitisk oro, särskilt med Trump tillbaka i Vita huset, lyfts fram som centrala drivkrafter.
Utvecklingen i Danmark följer en tydlig europeisk trend. Nederländerna har i år beslutat att bygga ett eget statligt moln för att minska beroendet av amerikanska leverantörer. Expertgrupper varnar för att framtida amerikanska lagkrav kan hota både dataskydd och kontinuitet i samhällskritiska funktioner i Europa.
Parallellt meddelade Amazon Web Services (AWS) nyligen att de bildat ett nytt tyskt moderbolag och tre dotterbolag för sitt EU-suveräna moln som kommer att vara helt fristående från AWS:s övriga globala infrastruktur och drivas enbart av anställda inom EU och med drift, support och kundtjänst inom EU. Även Microsoft och Google har börjat erbjuda liknande molntjänster. Detta får ses som ett svar på EU-kraven på datasuveränitet, även om frågor om t.ex. fortsatt amerikanskt ägande till EU-etablerade verksamheter kvarstår.
Mitt i detta pågår inom EU nu konsultationer om en ny molnlagstiftning som syftar till att stärka unionens AI- och molninfrastruktur. Målet är att minska beroendet av externa aktörer och bygga en mer motståndskraftig digital grund.
För svenska organisationer är det hög tid att se över sin molnstrategi. En exit-plan bör inte längre vara en nödlösning, utan en integrerad del av den digitala strategin. Europeiska alternativ, decentraliserad infrastruktur och ökade investeringar i teknisk suveränitet är inte bara framtidsvisioner – de blir alltmer nödvändiga val.
Information och inbjudningar publiceras löpande på maqs.com/event.
Hör gärna av dig om du vill veta mer om MAQS och hur vi jobbar. Vi erbjuder t.ex. regelbundet löpande stöd där vi säkerställer att du som kund får tillgång till nödvändig kompetens ett visst antal timmar per dag, vecka eller månad beroende på upplägg. Uppdragen bidrar till ett gott partnerskap med dig som kund där vi gemensamt ser till att ni med hjälp av juridiken kan uppnå era mål.
Relaterade områden
Kontaktpersoner
