Mange virksomheter antar at det er helt uproblematisk å lagre personopplysninger i tjenester som Microsoft 365, Google Workspace eller andre amerikanske skyløsninger. De brukes jo av «alle». Men juridisk og teknisk er situasjonen langt mer komplisert.
Spørsmålet mange stiller er enkelt: Er det faktisk lovlig å lagre GDPR‑data i amerikanske skytjenester?
Det korte svaret er at dette er svært problematisk. Flere juridiske vurderinger i Europa konkluderer med at overføring av personopplysninger til amerikanske selskaper kan være i strid med GDPR fordi amerikansk lovgivning kan gi myndigheter tilgang til dataene.
Hvorfor USA skaper problemer for GDPR
GDPR stiller et grunnleggende krav: Personopplysninger skal bare overføres til land utenfor EU/EØS dersom personvernet er tilstrekkelig beskyttet.
USA har i mange år vært en utfordring på dette området.
Årsaken er ikke først og fremst teknologien, men lovverket. Amerikanske myndigheter kan i flere tilfeller kreve tilgang til data som lagres hos amerikanske selskaper – selv når dataene fysisk ligger i Europa.
Dette betyr at en europeisk virksomhet i praksis kan miste full kontroll over personopplysninger som lagres i slike systemer.
Schrems II endret spillereglene
I 2020 kom EU‑domstolens avgjørelse i Schrems II. Den slo fast at den daværende avtalen mellom EU og USA for dataoverføring – Privacy Shield – ikke ga tilstrekkelig beskyttelse.
Domstolen pekte spesielt på amerikansk overvåkingslovgivning og manglende rettigheter for europeiske borgere dersom dataene deres ble hentet ut av amerikanske myndigheter.
Konsekvensen var at mange av de juridiske mekanismene som tidligere ble brukt for å overføre data til USA ble kraftig svekket.
Resultatet er at virksomheter må gjøre langt strengere vurderinger før de bruker amerikanske skyløsninger.
CLOUD Act og tilgang til data
Et annet viktig element i debatten er CLOUD Act.
Denne amerikanske loven gjør det mulig for amerikanske myndigheter å kreve tilgang til data fra amerikanske selskaper – uavhengig av hvor dataene fysisk er lagret.
Det betyr i praksis at data som ligger på en server i Europa fortsatt kan være tilgjengelige for amerikanske myndigheter dersom leverandøren er et amerikansk selskap.
Dette er vanskelig å forene med GDPRs krav om kontroll over personopplysninger.
«EU‑servere» løser ikke nødvendigvis problemet
Leverandører som Microsoft og Google fremhever ofte at data kan lagres i europeiske datasentre.
Det høres betryggende ut, men det løser ikke nødvendigvis de juridiske utfordringene.
Så lenge leverandøren er et amerikansk selskap, kan amerikansk lov fortsatt gjelde for selskapet – og dermed indirekte for dataene.
Dermed handler spørsmålet ikke bare om hvor dataene ligger, men også om hvem som kontrollerer infrastrukturen.
Dette er et sentralt tema i artikkelen [hvem kontrollerer egentlig dataene dine].
Hva sier Datatilsyn og europeiske myndigheter?
Flere europeiske tilsynsmyndigheter har uttrykt bekymring rundt bruk av amerikanske skytjenester.
Eksempler inkluderer:
- nederlandske vurderinger av Microsoft 365
- tyske vurderinger av Google Workspace
- diskusjoner i flere europeiske datatilsyn
Fellesnevneren er usikkerheten rundt amerikansk lovgivning og tilgang til data.
Det betyr ikke nødvendigvis at alle slike tjenester automatisk er ulovlige å bruke, men det betyr at risikoen og de juridiske kravene er betydelige.
For mange virksomheter er det derfor vanskelig å dokumentere full GDPR‑etterlevelse.
Alternativet: europeiske eller self‑hosted løsninger
På grunn av disse utfordringene ser mange virksomheter etter alternativer.
Et alternativ er europeiske skyleverandører som opererer under EU‑jurisdiksjon.
Et annet er såkalte self‑hosted skyløsninger, der virksomheten selv kontrollerer infrastrukturen.
Plattformer som Nextcloud gjør det mulig å bygge en privat sky der data lagres på servere virksomheten selv kontrollerer.
Dette kan gjøre det enklere å dokumentere kontroll over personopplysninger og redusere avhengigheten av globale teknologiselskaper.
Problemet handler egentlig om kontroll
Debatten om amerikanske skyløsninger handler i bunn og grunn om ett spørsmål:
Hvem har faktisk kontroll over dataene?
Hvis infrastrukturen eies av et selskap underlagt amerikansk lov, vil det alltid eksistere en juridisk risiko for tilgang fra amerikanske myndigheter.
For virksomheter som håndterer sensitive personopplysninger kan dette være vanskelig å forene med GDPRs krav til kontroll, ansvar og dokumentasjon.
Hva bør virksomheter gjøre?
Virksomheter som bruker eller vurderer amerikanske skyløsninger bør minst gjøre følgende:
- Kartlegge hvilke personopplysninger som lagres
- Vurdere juridisk risiko ved dataoverføring
- Dokumentere vurderinger knyttet til Schrems II
- Vurdere europeiske eller self‑hosted alternativer
Dette handler ikke bare om teknologi – men om juridisk ansvar.
FAQ
Er Microsoft 365 automatisk GDPR‑ulovlig?
Ikke nødvendigvis. Mange virksomheter bruker fortsatt slike løsninger. Problemet er at juridiske vurderinger etter Schrems II gjør det vanskelig å dokumentere at personopplysninger er fullt beskyttet mot tilgang fra amerikanske myndigheter.
Holder det at data lagres i Europa?
Ikke alltid. Hvis leverandøren er et amerikansk selskap kan amerikansk lov fortsatt gi myndigheter tilgang til dataene.
Hva er det tryggeste alternativet?
Løsninger der data lagres hos leverandører under EU‑jurisdiksjon – eller systemer virksomheten selv kontrollerer – gjør det ofte enklere å dokumentere GDPR‑etterlevelse.
