Är ni beredda om amerikanska molntjänster blir olagliga?

Under de senaste åren har många företag insett fördelarna med molntjänster. Det har varit en explosion av nya begrepp som infrastructure as a service, software as a service, platform as a service men även många andra onlinetjänster som ChatGPT, Google, Sociala medier, mm. är i praktiken molntjänster. Rätt använt har ”molnet” reducerat kostnader genom att företagen bara behöver betala för det de använder.

Många av dessa molntjänster finns i Amerika eller ägs av amerikanska bolag och under de senaste veckorna har flera vänner och kollegor bett mig om råd om hur man hanterar riskerna med att lagra programvara och data i amerikanska molntjänster. Detta fick mig att undersöka de transatlantiska molnrisker som europeiska företag står inför. Jag har sedan dess forskat i ämnet och sammanställt denna rapport. Syftet är inte att presentera frågorna i svart och vitt. Som en övertygad förespråkare för öppen och rättvis internationell handel vill jag betona att detta dokument inte ska läsas som ett politiskt ställningstagande för eller emot något land eller företag.

I stället lyfter rapporten fram de viktigaste riskerna och utmaningarna som sannolikt kommer att bli mest betydande. Molnleverantörer och beslutsfattare på båda sidor av Atlanten kan mycket väl ingripa innan dessa problem blir oåterkalleliga. Jag är dock övertygad om att vi inte har råd att vänta. Vi måste förbereda oss på det värsta och minska vårt beroende av en enskild leverantör eller jurisdiktion, så att vi förblir motståndskraftiga, oavsett utfallet.

Vissa skribenter har observerat att de utmaningar jag behandlar i denna rapporten i princip kan göra Microsoft Office, Google drive, Apples iCloud och Metas Facebook och Instagram olagliga inom EU. Det är sant att detta är möjligt, men eftersom flertalet av dessa lagrar data i Europa och de publika tjänsterna dessutom publicerar data är det ett tämligen extremt scenario. Denna rapportens fokus är att försöka förstå reella risker för företag som lagrar sina data i molnet.

Jag skrev från början rapporten på engelska och har grovöversatt den till svenska med hjälp av DeepL. Jag har gått igenom översättningen och förhoppningsvis fixat de flesta misstagen. Rapporten innehåller en komplett lista på mina källor i slutet. Från början hade jag lagt in källhänvisningar i texten, men eftersom samma källor återkommer tog jag bort dessa för att göra texten mer lättläst.

Om denna rapport kan tjäna som en liten  vägledning för företag som navigerar i dessa osäkra tider, anser jag att den är lyckad.

Sammanfattning

Denna rapport undersöker de ökande juridiska, politiska och strategiska risker som europeiska företag, med speciellt fokus på Storbritannien och Skandinavien (eftersom det är där de flesta av våra kunder finns), står inför när de förlitar sig på amerikanska molntjänster, såsom Amazon Web Services, Google Cloud och Microsoft Azure. Olika rättsliga ramverk och den senaste politiska utvecklingen har format de frågor som tas upp i denna rapport. Detta inkluderar: EU:s och USA:s ramverk för dataskydd (DPF), amerikanska övervakningslagar såsom CLOUD Act och den senaste politiska utvecklingen, särskilt att flera medlemmar av den amerikanska tillsynsmyndigheten för integritet och medborgerliga friheter (PCLOB) avskedades i januari 2025.

Viktiga slutsatser

1. EU:s och USA:s ramverk för dataskydd (DPF) är bräckligt:
   • DPF underlättar dataöverföring över Atlanten, men dess effektivitet påverkas av verkställande order och tillsynsorgan som kan förändras beroende på det politiska läget.
   • President Trumps avskedande av PCLOB-medlemmar i början av 2025 är ett hårt slag mot systemets trovärdighet.
2. USA:s och EU:s lagar står i konflikt med varandra:
   • Amerikanska lagar, som CLOUD Act och FISA 702, står i direkt konflikt med EU’s lagar och regleringar: GDPR, NIS2 och DORA.
   • Dessa lagar ger amerikanska myndigheter rätt att få tillgång till data som innehas av amerikanska företag, även om dessa lagras i datacenter inom EU, vilket äventyrar efterlevnaden.
3. EU:s tillsyn blir allt starkare:
   • Den irländska dataskyddsmyndigheten bötfällde Meta med 1,2 miljarder euro för olaglig dataöverföring. Detta visar att tillsynsmyndigheterna är beredda att tillämpa GDPR strikt.
   • De rättsliga utmaningarna mot DPF kvarstår och kan leda till ett upphävande när som helst.
4. Europas strategiska svar:
   • Regeringar och företag i Europa investerar i egna molnalternativ (Sovereign Clouds).
   • Allt fler företag använder EU-baserade leverantörer som OVHcloud, Hetzner, UpCloud och ElastS, samt initiativ som GAIA-X.
5. Analytikers råd och bästa praxis:
   • Analytiker (Gartner, Forrester, och IDC) rekommenderar hybrid- eller multicloud-konfigurationer, förbättrad dataportabilitet och användning av kryptering och lokalisering för känsliga områden.
   • EU:s datalag och CISPE:s initiativ för byte av molntjänst stöder dessa strategier.
6. Bonus – Alternativen innebär ofta lägre risk för inlåsning i proprietär teknologi och system:
   • Amerikanska molnplattformer använder ofta proprietär teknologi
   • Om och när priserna höjs är inlåsningseffekten ett potentiellt hot eftersom det är svårt eller kostsamt att flytta applikationerna till konkurrerande plattformar.

Rekommendationer

• Genomför konsekvensbedömningar av överföringar (På engelska kallas dessa Transfer Impact Assessments eller TIA)
• Inför kontraktsmässiga och tekniska skyddsåtgärder
• Gör en inventering av alternativa EU-baserade molnleverantörer
• Använd multicloud-arkitekturer och end-to-end-kryptering.

Amerikanska molntjänster erbjuder många fördelar, men deras juridiska och politiska sårbarheter kan skapa mycket reella risker för efterlevnad och drift för europeiska organisationer. En välplanerad molnstrategi med hänsyn till suveränitet är nu avgörande för alla företag som är verksamma i eller betjänar EU.

Juridisk och politisk bakgrund

Status för EU:s och USA:s ramverk för dataskydd

Begränsningar jämfört med EU-förordningar

Även om DPF förblir i kraft är avtalet snävt inriktad på regler för överföring av personuppgifter och har heller inte företräde framför bredare EU-regleringskrav.

Europeiska lagar, såsom GDPR, NIS2 och DORA, inkluderar strikta skyldigheter som går utöver DPF:s tillämpningsområde. Varken NIS2 eller DORA omfattas av DPF, och ytterligare åtgärder kan krävas för att skydda känsliga uppgifter i molnet. GDPR reglerar all behandling av personuppgifter inom EU (inklusive säkerhet och individers rättigheter), och dess regler om gränsöverskridande överföring (artiklarna 44–49 i GDPR) gäller fortfarande om DPF upphävs.

Direktiv 2 om nät- och informationssäkerhet (NIS2), som trädde i kraft i oktober 2024, fokuserar på cybersäkerhet och operativ motståndskraft för samhällsviktiga tjänster, med krav som riskhantering, säkerhet i leveranskedjan och rapportering av överträdelser. Lagen om digital operativ motståndskraft (DORA), som trädde i kraft i början av 2025 för finanssektorn, inför stränga krav på riskhantering inom informations- och kommunikationsteknologi (IKT) och tillsyn av tredjepartsleverantörer, vilket säkerställer att banker och finansinstitut kan stå emot störningar inom IKT.

Dessa sektorsspecifika lagar kräver att företag hanterar risker som dataintrång, avbrott eller leverantörsfel, inklusive de juridiska risker som är förknippade med datatillgång, oavsett befintliga ramverk för integritetsskydd.

DORA och NIS2 kräver till exempel att företag beaktar datasuveränitet och risker med molnkoncentration. De ”kompletterar och samexisterar med GDPR”, vilket innebär att efterlevnad av GDPR inte i sig uppfyller alla EU:s krav.

I praktiken kan en europeisk bank eller leverantör av kritisk infrastruktur fortfarande ställas inför efterlevnadsproblem enligt DORA/NIS2, även om en dataöverföring till ett moln i USA är laglig enligt DPF, om överföringen medför säkerhets- eller kontinuitetsrisker (till exempel om en plötslig lagändring gör data otillgängliga eller äventyrar dem).

Dessutom är DPF ett verkställighetsavtal som baseras på ett amerikanskt presidentdekret kombinerat med ett beslut av EU-kommissionen, snarare än ett fördrag eller en lag. Det är därför i sig bräckligt – en förändring i den amerikanska administrationen eller politiken kan leda till att avtalet upphävs utan kongressens godkännande.

EU:s beslutsfattare är väl medvetna om dessa begränsningar, vilket är anledningen till att det senaste decenniet har det tillkommit en rad nya regleringar som diskuterar vad som kallas suveränitet (GDPR, NIS2, DORA, datalagstiftningen etc.) för att stärka skyddet oberoende av transatlantiska avtal.

Amerikanska övervakningslagar och extraterritoriell räckvidd

En central juridisk fråga är att amerikansk lag kan tvinga fram tillgång till data som lagras hos amerikanska molntjänstleverantörer, oavsett var data finns. Det främsta exemplet är lagen Clarifying Lawful Overseas Use of Data (CLOUD) Act från 2018, som uttryckligen ger amerikanska brottsbekämpande myndigheter rätt att begära ut data från amerikanska teknikföretag ”även om dessa data lagras utanför USA”.

Med andra ord kan ett företag som Microsoft, Amazon eller Google få en order att lämna ut, eller bli stämda om de inte gör det trots att data finns i deras datacenter i EU. Amerikanska domstolar har uttryckligen enligt dessa lagar jurisdiktion att tvinga fram detta. Detta skapar en direkt konflikt med EU:s dataskyddslagar – som en branschanalys uttrycker det: ”GDPR förbjuder överföring av EU-medborgares data till regioner med svagare integritetslagar, men USA:s CLOUD Act tvingar fram utlämnande av data oavsett var de finns”.

Frågan om vilken lag som har företräde är fortfarande olöst: efterlevnad av en amerikansk order kan strida mot GDPR, vilket riskerar betydande böter. Å andra sidan kan vägran strida mot amerikansk lag. Även om det, såvitt undertecknad känner till, inte finns några objektiva offentliga bevis för att amerikanska myndigheter hittills fått ut personuppgifter från EU-servrar (Företagen tenderar att göra motstånd, och att sådana förfaranden vanligtvis hålls hemliga), är risken inte teoretisk.

Det ökända fallet Microsoft Ireland belyste denna konflikt mellan 2016 och 2018: amerikanska myndigheter begärde ut e-postmeddelanden som lagrats i Dublin, och Microsoft motsatte sig föreläggandet. Tvisten avslutades när CLOUD Act antogs, vilket gav den amerikanska regeringen uppenbar behörighet (Notera att detta var före GDPR och att GDPR dessutom skärpts på detta område sedan det introducerades).

Enligt CLOUD Act kan amerikanska leverantörer väcka talan mot en begäran om utlämnande av uppgifter om den strider mot utländsk lag och avser en person som inte är amerikansk medborgare. De måste dock övertyga en amerikansk domare, och lagen ger regeringen stort utrymme för godtycklig bedömning.

Foreign Intelligence Surveillance Act (FISA) avsnitt 702, den lag som möjliggör NSA:s massövervakning av utländsk kommunikation, är fortfarande i kraft och har inte ändrats genom DPF. FISA 702 tillåter amerikanska underrättelsetjänster att samla in uppgifter om icke-amerikaner utanför USA utan individuella tillstånd.

Detta var en central fråga i Schrems II-domen (EU-domstolen 2020), som ogiltigförklarade Privacy Shield på grund av bristande proportionalitet och otillräcklig prövning för EU-medborgare. Den nya DPF bygger på den amerikanska presidentförordningen 14086 för att införa vissa skyddsåtgärder för underrättelsetjänster. Men även om dessa skyddsåtgärder inte anses vara helt vattentäta (särskilt med tanke på att PCLOB:s tillsyn nyligen försvagats) kan EU-domstolen återigen komma fram till att de amerikanska övervakningslagarna gör överföringar av uppgifter mellan EU och USA olagliga.

Kort sagt, amerikanska molnjättar verkar enligt amerikansk lagstiftning som Europa inte kan ignorera: som en tekniktidning sammanfattade det rakt på sak: ”Amerikanska domstolar kan tvinga företag under amerikansk jurisdiktion att lämna ut data, vilket i praktiken kan åsidosätta EU:s integritetsskydd”. Denna extraterritoriella räckvidd innebär att lagring av data i en EU-region i ett amerikanskt moln i sig inte garanterar integritet eller sekretess på EU-nivå – en verklighet som nu präglar europeiska riskbedömningar.

Viktiga risker och integritetsfrågor

DPF:s stabilitet och motivation

Europeiska tillsynsmyndigheter och integritetsexperter har uttryckt djup skepsis mot DPF:s hållbarhet. EU:s civilsamhälle och Europaparlamentet var mycket kritiska till kommissionens beslut om motiverad skyddsnivå. I sin resolution från 2023 uppmanade parlamentet till omförhandling av avtalet med motiveringen att det ”inte skapar väsentlig likvärdighet” när det gäller skydd.

Även nationella dataskyddsmyndigheter har varit försiktiga. Europeiska datatillsynsmyndigheten erkände förbättringar i början av 2023. Den konstaterade dock att ”vissa frågor som tidigare har väckts angående [Privacy Shield] fortfarande är aktuella”.

En grundläggande oro är att DPF, precis som sina föregångare, fortfarande bygger på garantier från den amerikanska regeringen snarare än på lagändringar. Max Schrems (vars klagomål ledde till Schrems I och II) har antytt att DPF sannolikt kommer att ifrågasättas. NOYB och andra har väckt talan under slutet av 2023 eftersom den amerikanska övervakningslagen (FISA 702) fortfarande tillåter massinsamling av data och den nya prövningsmekanismen inte är oberoende.

Dessa mål förväntas nå Europeiska unionens domstol (EU-domstolen) så småningom. Även om ett slutgiltigt avgörande kan dröja ett år eller mer riskerar företag som använder amerikanska molntjänster ett ”Schrems III”-scenario där DPF ogiltigförklaras, vilket skulle försätta den transatlantiska dataflödet i ett rättsligt limbo.

Den senaste tidens turbulens inom PCLOB ökar denna risk. Europa har sett PCLOB som en central del av tillsynen inom ramen för DPF. Med PCLOB ur funktion förlorar Europeiska kommissionen ett ”viktigt tillsynsverktyg som den förhandlat fram”, och EU-domstolen kan komma att betrakta USA:s åtagande som ytligt eller inte giltigt. Eftersom Trump-administrationen har avskedat tillsynstjänstemän hävdar integritetsförespråkare att den amerikanska regeringen undergräver de överenskomna skyddsåtgärderna och inte genomför presidentdekret 14086 på ett korrekt sätt. Detta kan komma att undergräva hela ramverkets trovärdighet.

I praktiken skapar detta osäkerhet för företagen: företag som förlitar sig på DPF för att legitimera dataöverföringar från EU till USA kan plötsligt upptäcka att mekanismen är ogiltig, precis som skedde över en natt 2020 med Privacy Shield. De skulle då behöva skynda sig att anta standardavtalsklausuler eller andra åtgärder, som dessutom inte helt kan antas räcka för efterlevnad (tillsynsmyndigheter, såsom den irländska dataskyddsmyndigheten, har redan ifrågasatt dem, vilket framgår nedan).

DPF:s ”långsiktiga hållbarhet” är därför ett stort problem. Många experter såg DPF som en tillfällig lösning som kanske inte klarar en rättslig prövning, eftersom de underliggande amerikanska lagarna (såsom FISA) förblivit oförändrade.

Reglerings- och tillsynsåtgärder

Europeiska tillsynsmyndigheter väntar inte på att den transatlantiska politiken ska lösa sig. De har i specifika fall redan börjat tillämpa GDPR-restriktioner för molnöverföringar. Dessa visar på verkliga risker med otillräckligt dataskydd när data lagras i amerikanska moln.

Det rekordhöga bötesbeloppet på 1,2 miljarder euro som Meta (Facebook) ålades i maj 2023 var ett exempel som satte milstolpar. Irlands dataskyddsmyndighet fann att Metas fortsatta överföringar av EU-användares data till USA (efter att Privacy Shield ogiltigförklarats, med användning av standardavtalsklausuler) stred mot GDPR eftersom ”de överförda uppgifterna inte tog hänsyn till de risker för de registrerades grundläggande rättigheter och friheter som [EU-domstolen] hade identifierat”.

Med andra ord klarade Meta inte ”Schrems II”-testet – dataskyddsmyndigheten fastslog att standardavtalsklausuler inte var tillräckliga med tanke på övervakningsriskerna i USA och beordrade Facebook att avbryta dataöverföringen från EU till USA. Denna tillämpning, som är den största bötesbeloppet hittills enligt GDPR, understryker att EU:s tillsynsmyndigheter är beredda att stoppa dataexport och utdöma enorma böter om företag inte kan garantera skydd på EU-nivå utomlands. Det förebådar vad som kan hända många företag om DPF ogiltigförklaras eller om SCC anses otillräckliga: alla företag som är beroende av amerikanska molntjänster för att hantera personuppgifter kan komma att åläggas att lokalisera eller radera dessa uppgifter.

Europeiska dataskyddsmyndigheter har också vidtagit åtgärder mot specifika tjänster baserade i USA. Till exempel har flera dataskyddsmyndigheter (i Österrike, Frankrike, Italien etc.) beslutat att det är olagligt att använda Google Analytics på webbplatser inom EU, eftersom det innebär att personlig användarinformation skickas till Google i USA utan adekvata skyddsåtgärder. Sådana fall illustrerar en växande efterlevnadsrisk för EU-företag: användning av populära amerikanska molntjänster (såsom analysverktyg och SaaS) kan plötsligt förklaras vara icke-kompatibla, vilket tvingar fram snabba avtalsändringar eller teknikbyten.

Den rådande oron bland tillsynsmyndigheter är att data som är tillgängliga enligt amerikansk lag inte kan lagras säkert i molnet utan robusta kompletterande skyddsåtgärder, såsom kryptering (som diskuteras nedan). Tills dess att amerikanska övervakningslagar uppfyller EU:s standarder eller starkare skyddsåtgärder införs kommer EU-myndigheter att fortsätta betrakta beroendet av amerikanska leverantörer som en juridisk risk som kräver noggrann övervakning.

Sekretessfrågor och expertkommentarer

Vissa europeiska integritetsförespråkare har öppet ifrågasatt om transatlantiska dataavtal kommer att upprätthållas. Marietje Schaake, före detta ledamot av Europaparlamentet och expert på internationell politik, lyfte fram en geopolitisk dimension: ”Det finns en stark önskan i Europa att minska risken eller beroendet av amerikanska teknikföretag, eftersom man fruktar att de kan användas mot europeiska intressen.”

Detta uttalande gjordes i mars 2025 efter att den nya amerikanska regeringen antagit en hård linje gentemot Europa. Det handlar inte bara om integritetslagar – det handlar om Europas digitala oberoende och förtroende. Om EU:s ledare tror att Washington kan använda sina stora teknikföretag för att spionera eller utöva ekonomiskt tryck, kommer de att göra motstånd.

Integritetsorganisationer som NOYB och EDRi hävdar på liknande sätt att utan en reform av USA:s lagar som tillåter att amerikanska övervakningsmyndigheter tar del av data utan restriktioner är alla former av ”adekvat skydd” byggda på sand. De påpekar att DPF:s prövningsmekanism, den nyinrättade Data Protection Review Court i USA, är oprövad och inte verkligt oberoende, eftersom USA:s justitieminister utser dess medlemmar. EU-medborgare saknar därmed fortfarande ett adekvat rättsmedel i amerikanska domstolar.

En annan ofta nämnd farhåga är det ”ihållande problemet med FISA 702”. Enligt integritetsgrupper kommer europeiska data att vara i fara så länge massinsamling av data är lagligt i USA.

Konsumentorganisationer i Europa har också uttryckt oro över molnkoncentrationen. BEUC (European Consumer Organisation) har till exempel varnat för att konsumenternas data kan exponeras om utländska myndigheter kan få tillgång till dem utan en ordentlig rättslig process. Dessa röster utövar gemensamt påtryckningar på EU-institutionerna att inta en fast hållning. Vi har redan sett att dessa påtryckningar har lett till åtgärder: Europaparlamentets resolution mot DPF och EDPB:s hårda hållning har delvis drivits fram av synpunkter från det civila samhället.

Den långsiktiga risken är att det transatlantiska datautbytet blir del av ett politiskt förhandlingsspel. Om DPF kollapsar kan det försämra de ekonomiska relationerna och orsaka osäkerhet för tusentals företag.

Som Centre for Democracy & Technology påpekade, ”allvarligt undergräver” avskedandena från PCLOB kommissionens förmåga att säkerställa att USA lever upp till sina integritetslöften, vilket gör DPF till en meningslös säkerhetsåtgärd.

EU-experter som uttalat sig ger en samstämmiga uppfattning att det nuvarande ramverket inte är tillräckligt såvida inte USA ger starkare rättsliga garantier. Detta kastar en skugga av risk över alla europeiska företag som lagrar personuppgifter hos amerikanska molntjänster.

Rättsfall rörande tillgång till data

Även om direkta fall där amerikanska myndigheter lagt beslag på företagsdata lagrad i EU enligt CLOUD Act inte ofta offentliggörs (på grund av utredningarnas sekretess), framgår hotet tydligt av förebyggande riktlinjer från europeiska tjänstemän. Till exempel utfärdade den nederländska regeringens cybersäkerhetsmyndighet (NCSC) 2022 ett memorandum där europeiska företag uppmanades att minimera exponeringen av data för amerikansk jurisdiktion när så är möjligt. Myndigheten varnade för att ”teoretiska risker för tvångsutlämnande till amerikanska myndigheter inte kan ignoreras”. Den beskrev scenarier där EU-data kan omfattas av CLOUD Act, till exempel när ett EU-företag är ett dotterbolag till ett amerikanskt moderbolag eller när det använder en molntjänst baserad i USA.

I meddelandet fastställdes utan omsvep att för att helt undvika CLOUD Act måste en organisation inom EU använda en icke-amerikansk leverantör utan amerikanskt moderbolag eller se till att den amerikanska leverantören inte har ”innehav, förvaring eller kontroll” över EU-data.

Denna typ av officiella riktlinjer understryker att alla uppgifter som finns inom ett amerikanskt företags sfär riskerar att avslöjas, en åsikt som delas av allt fler europeiska tillsynsmyndigheter. Deloitte konstaterar att om ett företag följer en amerikansk begäran om uppgifter kan det bryta mot GDPR och drabbas av sanktioner.

Ett liknande scenario är statlig övervakning: Enligt FISA 702 kan amerikanska underrättelsetjänster rikta in sig på en molnserver i Europa om en amerikansk leverantör har tillgång till den, utan att informera uppgiftsägaren. Även om specifika fall är sekretessbelagda visade Snowdens avslöjanden att leverantörer som Google och Microsoft tvingats ge bakdörråtkomst till dataströmmar. Det är allmänt känt att molnleverantörer fortfarande får sådana order (t.ex. National Security Letters) om data på utländska servrar, men att de är förbjudna att avslöja dem.

Bristen på transparens (amerikanska företag kan inte enkelt avslöja hur ofta detta sker) spär på det europeiska misstroendet. Vi ser också transatlantiska spänningar när det gäller tillgång för brottsbekämpande myndigheter: USA och EU diskuterar ett eventuellt avtal om E-Evidence/CLOUD Act för att effektivisera gränsöverskridande begäranden om data, men tills detta har genomförts kan ensidiga amerikanska order strida mot EU-lagstiftningen.

Kort sagt är detta inte ett avlägset eller hypotetiskt hot – det händer just nu. Europeiska företag bör utgå från att amerikanska myndigheter kan få tillgång till data som lagras av amerikanska molntjänstleverantörer och planera för detta. Risken sträcker sig till affärskontinuiteten: om ett EU-företags kritiska data beslagtas eller övervakas av en utländsk makt kan det störa verksamheten och bryta kundernas förtroende.

Det medför också risker för rättstvister – enskilda personer eller tillsynsmyndigheter kan stämma ett företag för att det inte har skyddat EU-uppgifter om sådan åtkomst skulle ske. Även om det inte finns något uppmärksammat testfall mellan CLOUD Act och GDPR är den dominerande risken därför den avskräckande effekten och försiktighetsprincipen: många organisationer känner att de inte kan använda amerikanska molntjänster för känsliga uppgifter på ett tryggt sätt på grund av den överhängande risken för hemlig åtkomst eller plötsliga rättsliga åtgärder.

Transatlantiska risker för affärskontinuiteten

Alla dessa faktorer leder till en bredare strategisk risk; Vad händer om de transatlantiska dataflödena avbryts eller begränsas kraftigt? Många europeiska företag – och även amerikanska företag som är verksamma i Europa – är beroende av ett smidigt datautbyte med amerikanska molntjänster, från CRM- och HR-plattformar till global e-handelsinfrastruktur, vilket ofta innebär att personuppgifter flyttas fram och tillbaka. Anta att DPF ogiltigförklaras, som många förväntar sig. I så fall kan dessa företag tvingas avbryta vissa dataöverföringar omedelbart eller riskera böter enligt GDPR. Detta är inte spekulation: kom ihåg att Facebook ålades att avbryta överföringar från EU till USA och fick endast fem månader på sig att efterkomma beslutet.

Om ett liknande beslut skulle gälla molntjänster i stort skulle företag som inte har förberett sig med lokala alternativ i EU kunna se delar av sin IT-infrastruktur bli olaglig nästan över en natt. Risken för en juridisk ”klippkant” har fått företag att driva på politiska lösningar. Det är dock fortfarande viktigt med beredskapsplaner med tanke på de oförutsägbara politiska åtgärderna i USA (t.ex. PCLOB-incidenten) och domstolsbeslut.

Dessutom finns risken för en protektionistisk utveckling. Data kan användas som vapen om de geopolitiska relationerna försämras (som i det nuvarande scenariot med stigande tullar och tvister 2025). Trump-administrationens uppenbara fientlighet mot EU:s integritetsfrågor (t.ex. avskedande av tillsynstjänstemän och avfärdande av europeisk kritik) kan leda till att EU mer aggressivt hävdar sin digitala suveränitet, även om det innebär att det transatlantiska dataflödet tillfälligt störs.

För företagen är mardrömsscenariot ett sammanbrott av ramverken för adekvat dataskydd utan någon omedelbar ersättning, vilket tvingar dem att vidta kostsamma och komplexa åtgärder för att uppfylla kraven för varje datatransaktion till USA eller till och med kräva att data återförs till EU. En sådan instabilitet utgör en allvarlig risk för affärskontinuiteten, eftersom den kan påverka molnbaserade leveranskedjor, transatlantisk kunddatabehandling och genomförbarheten av amerikanska molnkontrakt för europeiska kunder.

Därför bör realistiska framsynta organisationer behandla dessa juridiska och politiska risker som en del av sin övergripande riskhantering, inte bara som abstrakta juridiska frågor.

Strategiska åtgärder från europeiska företag och regeringar

På grund av dessa risker har europeiska företag – särskilt i Norden och inom starkt reglerade branscher som finans – börjat anpassa sina molnstrategier. En tydlig trend sedan slutet av 2024 är ett ökat intresse för att minska beroendet av amerikanska ”hyperscalers” (AWS, Microsoft Azure, Google Cloud) till förmån för europeiska molnlösningar eller en mer diversifierad strategi. I början av 2025 rapporterade Wired om ”tidiga tecken på att vissa europeiska företag och regeringar håller på att frångå amerikanska molntjänster … med hänvisning till integritetsfrågor och osäkerhet kring den amerikanska politiken”.

Två europeiska molnleverantörer – Exoscale (Schweiz) och Elastx (Sverige) – noterade en kraftig ökning av förfrågningar från organisationer som ville ”överge amerikanska molnleverantörer” under veckorna efter den nya amerikanska administrationens åtgärder.

VD:arna för dessa företag bekräftade att efterfrågan från hela Europa har ökat kraftigt. ”Särskilt kunder från Danmark… har varit mycket tydliga med att de vill lämna amerikanska företag på grund av den amerikanska administrationen”, sade Exoscale:s VD, med hänvisning till den ökade danska oron mot bakgrund av Trumps retorik om Grönland.

Elastx vd instämde i detta och kallade det en stor oro att ”ur ett europeiskt perspektiv kanske USA inte längre är i samma lag som vi”.

Detta driver organisationer att söka europeiska alternativ. Anekdoterna ovan illustrerar ett större mönster: kunder, särskilt i Nordeuropa, efterfrågar aktivt molnalternativ som garanterar att data förblir under EU:s jurisdiktion.

Företagsexempel – Flytt till europeiska moln

Vi ser konkreta exempel på företag som genomför molnreverseringar, även känt som ”återföring” av data. Grundaren av ett litet österrikiskt teknikföretag, SkunkWerks, berättade att han sedan början av 2025 har migrerat flera servrar och databaser från amerikanska leverantörer till europeiska tjänster, motiverat av principen (”integritet är en rättighet, inte en privilegium”) och pragmatism (för att undvika att stödja politik som han inte håller med om).

En tysk leverantör av hälso- och sjukvårdsprogramvara, Medicusdata, som betjänar sjukhus i Europa, uppgav att man alltid har lagrat patientdata i Europa för att försäkra sig att man efterlever alla regler, men att kunderna nyligen har börjat kräva att data lagras i ett EU ägt datacenter. Företaget förlitar sig nu därför enbart på europeiska molnleverantörer och har migrerat sina tjänster till en leverantör baserad i Schweiz.

Denna trend är också märkbar i Storbritannien och Skandinavien. Enligt en rapport från Investment Monitor ”byter ett växande antal företag bort amerikanska molnleverantörer, eftersom oro över datasuveränitet blir allt mer relevant för deras kunder och för dem själva”. Detta gäller även brittiska företag, trots att Storbritannien inte är medlem i EU. Det geopolitiska klimatet och Storbritanniens avtal om adekvat dataskydd gör dem också försiktiga.

Storbritanniens finansiella tjänster och offentliga sektor letar nu efter europeiska molnalternativ för att säkerställa efterlevnad av den brittiska GDPR och förbereda sig för eventuella avvikelser från den amerikanska politiken.

Offentlig sektor och statliga initiativ

År 2025 fattade det nederländska parlamentet ett partiöverskridande beslut om att minska beroendet av amerikanska teknikföretag och byta till europeiska molnleverantörer. Ungefär samtidigt undertecknade över 100 europeiska organisationer ett öppet brev där de uppmanade EU att bli ”mer tekniskt oberoende” och varnade för att den nuvarande situationen, som domineras av utländsk teknik, innebär ”risker för säkerheten och tillförlitligheten”.

Denna press driver europeiska myndigheter att investera i lokala eller suveräna molnlösningar. Frankrike och Tyskland har varit ledande på detta område: Frankrike lanserade initiativet ”Cloud de Confiance” (Trusted Cloud) som kräver att molntjänster för den offentliga sektorn drivs av företag som omfattas av fransk/EU-lagstiftning (vilket har lett till partnerskap som ”Bleu” – ett joint venture som använder Microsoft Azure-teknik men som är helt under fransk kontroll).

Tysklands telekomjätte T-Systems har ingått ett partnerskap med Google Cloud för att erbjuda en ”tysk suverän molntjänst”, där T-Systems hanterar nycklar och åtkomst, vilket isolerar tjänsten från amerikansk inblandning. I Sverige och Norge har offentliga myndigheter noga följt riktlinjerna från sina dataskyddsmyndigheter för att undvika att använda amerikanska molntjänster för känsliga personuppgifter. Till exempel varnade de svenska utbildningsmyndigheterna skolor under 2022–23 från att använda amerikanska molnverktyg, såsom vissa Google-tjänster, efter beslut om att dessa kunde bryta mot GDPR. Dessa åtgärder har bara intensifierats med den nya osäkerheten: ”digital suveränitet” är nu ett strategiskt mål i många nationella digitaliseringsplaner.

Europeiska molnleverantörer och lösningar

På senare år har möjligheterna att använda europeiska moln ökat. Exempel på molntjänster som är helt europeiska är; OVHcloud, Scaleway, Hetzner, UpCloud, City Network, Elastx och Exoscale. Även om de tillsammans fortfarande har en minoritetsandel av den europeiska molnmarknaden, utnyttjar de suveränitet som ett försäljningsargument. OVHcloud (Frankrike) och Deutsche Telekoms infrastrukturarm har marknadsfört sig som GDPR-kompatibla från grunden, immuna mot extraterritoriella lagar.

OVHcloud och andra EU-leverantörer har också anslutit sig till CISPE (Cloud Infrastructure Providers in Europe) för att betona sina åtaganden om dataskydd och lobba för rättvis konkurrens med de amerikanska jättarna. Enligt Wired har företag som Exoscale och Elastx sett kunder ”börja göra det” – dvs. aktivt byta leverantör under första kvartalet 2025.

Några uppmärksammade fall

Det franska hälsoministeriets Health Data Hub flyttade från Microsoft Azure till en europeisk lösning efter påtryckningar från CNIL (den franska dataskyddsmyndigheten), som var oroad över amerikansk åtkomst. Den tyska delstaten Hessen migrerade sina skolsystem från Microsoft Office 365 till en lokal molntjänst av liknande skäl.

I Danmark har vissa kommuner och till och med privata företag börjat kräva EU-exklusiva molnalternativ i sina anbudsförfrågningar för nya IT-projekt. Denna trend drivs också av stigande priser på molntjänster och inlåsning. Skandinaviska företag har varit tidiga med att anamma molntjänster med fokus på integritet – till exempel rapporterar finska UpCloud och svenska Elastx att fintech- och hälsovårdsstartups, som hanterar stora mängder personuppgifter, föredrar dem framför AWS och Azure för att undvika juridisk komplexitet.

”Sovereign Cloud”-erbjudanden från amerikanska leverantörer

Intressant nog har de amerikanska hyperscalers svarat på europeiska strategiska krav genom att lansera Europa-specifika molnmiljöer. Amazon Web Services tillkännagav i slutet av 2024 ett initiativ för en ”europeisk suverän molntjänst”, som inleds med en dedikerad region i Tyskland som är fysiskt och operativt separat, drivs av AWS europeiska personal och håller all data och metadata inom EU:s gränser.

Microsoft har lanserat sin EU Data Boundary för Azure, Office 365 och Dynamics, med målet att säkerställa att all kunddata från EU-kunder senast 2025 förblir inom ett datacenter i EU eller EFTA. Microsoft och Google samarbetar också med europeiska företag. Google Cloud samarbetar med T-Systems i Tyskland för att erbjuda en ”Germany Sovereign Cloud”, där datalagring garanteras inom landet och den lokala partnern innehar krypteringsnycklarna istället för Google.

Till och med Oracle har lanserat en EU Sovereign Cloud-region, och IBM erbjuder molnzoner som endast är tillgängliga inom EU. Dessa åtgärder är ett erkännande från amerikanska leverantörer att de måste mildra europeiska farhågor genom att lokalisera datalagring och begränsa administrativ åtkomst. Europeiska tillsynsmyndigheter och experter påpekar dock att dessa lösningar har begränsningar. Eftersom moderbolagen fortfarande lyder under amerikansk jurisdiktion finns det en oro att även en så kallad suverän EU-molntjänst som drivs av ett amerikanskt företag inte kan motstå ett krav enligt CLOUD Act.

AWS, Microsoft och Google hävdar att användningen av EU-juridiska personer och personal som är strikt baserad i EU för dessa specialmoln kan skapa en buffert mot amerikanska order. Men som Blocks & Files påpekade är de ”underkastade amerikansk jurisdiktion enligt CLOUD Act, vilket potentiellt kan äventyra [GAIA-X:s] mål” om datasuveränitet.

En fransk molnleverantör, Scaleway (och senare Hosteur), lämnade GAIA-X-initiativet 2021 för att protestera mot dessa stora amerikanska teknikföretags inblandning, eftersom man tvivlade på att verklig suveränitet kunde uppnås med dem vid förhandlingsbordet.

För europeiska företag som inte helt kan avstå från amerikanska plattformar minskar dock risken genom att använda dessa ”EU-suveräna” erbjudanden, eftersom det sannolikt minskar tillfälliga dataöverföringar. Det innebär också strängare EU-lagstiftningsprocesser, även om det inte är säkert att det håller för en extrem rättslig konflikt.

Multi-Cloud- och hybridstrategier

En praktisk strategi som blir allt vanligare är att använda en arkitektur med flera moln eller hybridmoln. Istället för att lägga alla ägg i en leverantörs korg (särskilt om leverantören är utländsk) fördelar företagen arbetsbelastningen över flera moln – några från amerikanska leverantörer, några från europeiska leverantörer och kanske privata eller lokala moln för de mest känsliga uppgifterna.

Det här tillvägagångssättet ger flexibilitet och hävstångseffekt – om de juridiska villkoren ändras eller om en leverantör blir problematisk kan arbetsbelastningen flyttas till de andra molnmiljöerna. Exempelvis använder banker i Skandinavien hybrida molnkonfigurationer, där kunddatabaser finns i ett privat eller EU-baserat moln medan amerikanska molntjänster används för mindre känsliga analyser eller webbinnehåll, och de länkas samman via säker APIS.

Vissa organisationer har förhandlat fram bestämmelser om utträde eller oförutsedda händelser i sina molnkontrakt. International Association of Privacy Professionals (IAPP) rekommenderar att företag inkluderar ”springing SCCs” – i princip standardavtalsklausuler som automatiskt träder i kraft om DPF:s tillräcklighet ogiltigförklaras.

Denna beredskapsplanering är en del av en bredare spelbok: företag bör prioritera sina dataöverföringar och ha reservåtgärder (t.ex. att snabbt överföra data till ett EU-moln eller åberopa förunderskrivna tillägg för databehandling).

Många företag i Europa övar för dessa scenarier. Ett stort nordiskt försäkringsbolag kan t.ex. ha en global närvaro på AWS. Parallellt med detta har man en uppdaterad klon av kritiska data i en europeisk molnmiljö. Om de transatlantiska överföringarna stoppas kan tjänsterna sömlöst kopplas över till den europeiska zonen med minimal nedtid.

Detta är i grunden att bygga upp en motståndskraft mot rättsliga chocker. Undersökningar visar att det nu är standard att använda flera moln – över 90 % av företagen i världen använder två eller flera offentliga molnleverantörer, och Europa är inget undantag. Europeiska företag ger sig själva alternativ och förhandlingsstyrka genom att undvika inlåsning till en enda amerikansk leverantör. Det bidrar också till att hantera en annan risk – leverantörsinlåsning och leverantörsberoende kan vara kostsamt, bortsett från jurisdiktionsfrågor, så strategier med flera moln stöder suveränitet och operativ motståndskraft. Dessutom kan det skapa frihet att välja om en leverantör höjer priserna.

Europeiska molnallianser – GAIA-X och framåt

På samarbetsnivå lanserade Europa GAIA-X 2019 som ett flaggskeppsprojekt för att främja en federerad, interoperabel datainfrastruktur mellan europeiska leverantörer. GAIA-X:s mål är att göra det enklare för europeiska företag att använda inhemska molntjänster som uppfyller gemensamma standarder för säkerhet och transparens. Det är inte ett moln i sig, utan ett ramverk och ett ekosystem. I teorin skulle GAIA-X kunna göra det möjligt för ett företag att sömlöst integrera tjänster från flera europeiska moln och därmed minska attraktionskraften hos de integrerade amerikanska hyperscalers.

Utvecklingen har gått långsammare än väntat, och som nämnts har de amerikanska företagens medverkan i GAIA-X väckt frågor. GAIA-X symboliserar ändå Europas avsikt att uppnå molnsuveränitet och säkerställa att ”europeiska data förblir under europeisk kontroll”.

EU-länderna har också bildat European Alliance for Industrial Data, Edge, and Cloud, som samlar investeringar för att utveckla nästa generations molnkapacitet under EU-regler. På nationell nivå skapar initiativ som Frankrikes ”SecNumCloud”-märkning – en cybersäkerhetscertifiering för molnleverantörer som på högsta nivå kräver immunitet från jurisdiktioner utanför EU – och Tysklands projekt för säkra moln betrodda zoner för känsliga data.

EU arbetar också med ramverk, som EUCS (EU Cloud Security Certification Scheme), för att certifiera molntjänster på olika säkerhetsnivåer. Inledningsvis innehöll utkasten strikta suveränitetskrav, inklusive EU-ägande och kontroll på högsta nivå. Detta har dock debatterats flitigt och ändrats. Enbart diskussionen om sådana krav har sannolikt fått vissa företag att överväga EU-ägda leverantörer för att ”framtidssäkra” sin efterlevnad.

Slutligen har vissa europeiska företag börjat använda lokala eller privata moln för specifika data. Även om ”cloud-first” fortfarande är mantrat för innovation, hör vi nu ”molnsmarta” strategier, till exempel ett svenskt tillverkningsföretag som beslutar att dess ”kronjuveler ”(känsliga FoU-data) ska stanna i ett självhanterat datacenter eller ett privat moln som endast finns i Europa. Samtidigt flyttas andra arbetsbelastningar till ett publikt moln.

På så sätt riskerar inte de mest kritiska uppgifterna att utsättas för utländsk åtkomst om de rättsliga förhållandena försämras. Så om det juridiska klimatet förändras förblir din mest vitala information utom räckhåll. Vi sorterar och segmenterar data utifrån hur känslig den är – endast personliga kunduppgifter och affärshemligheter stannar kvar i EU under EU:s kontroll.

Kort sagt, organisationer och myndigheter i hela Europa – särskilt i Storbritannien och Norden – vidtar både praktiska och politiska åtgärder för att hantera riskerna med amerikanska molntjänster. Organisationer flyttar till europeiska moln, undviker leverantörsinlåsning, kombinerar hybrid- och multimolnmiljöer och säkerställer starka rättsliga skyddsåtgärder (t.ex. SCC som backup). Att använda amerikanska molntjänster måste göras med försiktighet för att uppfylla kraven och hålla verksamheten igång, även i värsta fall.

Branschens och analytikernas syn på strategier för att minska riskerna

Den förändrade situationen har väckt stor uppmärksamhet bland olika experter. Analysföretag som Gartner, Forrester och IDC har följt uppkomsten av molnsuveränitet som en viktig trend i Europa.

Enligt Deloittes förutsägelser för 2024 kommer ”det nationella fokuset på molnsuveränitet att intensifieras på alla utvecklade marknader”, och specifikt förutspåddes de statliga utgifterna för suveräna molnlösningar att öka kraftigt (de förutspådde att statligt inriktade molntjänster skulle nå 41 miljarder dollar 2024, en ökning med 16%.

Marknadsdata stöder detta: IDC förutspår att de globala utgifterna för suveräna molntjänster kommer att stiga till 258 miljarder dollar 2027 (från cirka 80 miljarder dollar 2022), vilket indikerar en explosiv efterfrågan på lösningar som upprätthåller data under specifika jurisdiktionskontroller.

Det är främst den europeiska marknaden som driver denna tillväxt. I Forrester Researchs prognoser för 2025 står det uttryckligen att Europa kommer att ”investera i Sovereign Cloud”, och man förutser en boom i europeiska molninitiativ och en förändring i företagens beteende (Forresters analytiker noterade att européerna känner sig ”griniga” över de ekonomiska utsikterna och teknikberoendet, vilket leder till ökat stöd för lokala molnalternativ).

I praktiken rekommenderar stora konsultföretag sina kunder att använda multi-cloud- och hybridmolnlösningar för att förbättra prestanda, kostnadseffektivitet och riskreducering i händelse av suveränitetsfrågor. En McKinsey-rapport från 2023 visade att mer än vart tredje europeiskt företag avsåg att ha mer än 50% av sina arbetsbelastningar i det publika molnet 2025. Dessa planer förutsåg dock att säkerhets- och regleringsfrågorna löstes.

År 2025, när problemen fortfarande finns kvar, går trenden mot balanserade molnstrategier: företagen vill ha innovation i det publika molnet utan att vara låsta till en enda leverantör eller vara juridiskt sårbara.

Leverantörsinlåsning och portabilitet

I analytikerkommentarer framhålls ofta dataportabilitet som en kritisk förmåga. Anta att en organisation enkelt kan flytta sina data och applikationer från ett moln till ett annat. I så fall kan den snabbt reagera på förändringar i lagstiftningen eller problem med leverantörer. EU:s nya datalag (som trädde i kraft i januari 2024) innehåller därför bestämmelser för att ”förhindra inlåsning av leverantörer ” i molntjänster. Den kommer att kräva att molnleverantörer i EU undanröjer omotiverade tekniska eller avtalsmässiga hinder för byte och föreskriver även att avgifter för byte ska fasas ut senast 2026-2027.

Branschgrupper som CISPE (Cloud Infrastructure Providers in Europe) har proaktivt utvecklat ett ”Cloud Switching Framework” med tekniska specifikationer för att underlätta användning av flera molntjänster och interoperabilitet, i linje med kraven i datalagen.

Intressant nog är AWS medlem i CISPE och har ställt sig bakom detta ramverk, vilket tyder på att även de större leverantörerna inser vad som är på gång – kunderna kommer att kräva frihet att flytta data.

Analytiker ser detta som en positiv utveckling – enklare byten minskar risken för att en kund blir fast med en leverantör som blir juridiskt problematisk. Hybridmolnlösningar, t.ex. VMware-baserade stackar som kan köras lokalt eller i flera moln, framhålls också som ett sätt att bibehålla flexibiliteten. Gartner har påpekat att en molnagnostisk arkitektur kan göra det möjligt för en organisation att flytta arbetsbelastningar som svar på efterlevnadsbehov. Det kan dock ske på bekostnad av att man avstår från vissa proprietära tjänster i respektive moln.

Konsultvägledning om efterlevnad

Konsultföretag och juridiska rådgivningsbyråer i Europa ger aktivt råd till sina kunder om hur de ska uppfylla kraven mot bakgrund av denna osäkerhet. Vanliga rekommendationer är att utföra detaljerade konsekvensbedömningar av överföringar (Transfer Impact Assessments, TIA) för alla molntjänster som involverar personuppgifter – i huvudsak en analys av vilka lagar som är tillämpliga (t.ex. US CLOUD Act) och vilka åtgärder som finns på plats för att mildra dem. De rekommenderar ofta kryptering och pseudonymisering som viktiga tekniska åtgärder, så att uppgifterna förblir obegripliga även om de överförs eller görs tillgängliga.

Deloitte noterar till exempel att vissa företag använder end-to-end-kryptering, där endast kunden har nycklarna: ”Även om tjänsteleverantörer kan lämna ut uppgifter till brottsbekämpande myndigheter skulle uppgifterna vara obegripliga utan dekrypteringsnycklarna.”.

Detta överensstämmer med Europeiska dataskyddsstyrelsens vägledning, som har rekommenderat stark kryptering som en kompletterande skyddsåtgärd vid användning av molntjänster enligt SCC (vägledning efter Schrems II). Ett annat råd är datalokalisering för specifika kategorier av data – i princip datasuveränitet genom design.

Gartner har beskrivit en datastrategi som utnyttjar globala moln för offentliga, icke-personliga eller lågkänsliga data. Reglerade data eller högriskdata förvaras dock i ett suveränt moln eller i en privat infrastruktur. På så sätt kan företag fortfarande dra nytta av molnens skalbarhet för mindre känsliga verksamheter samtidigt som de skyddar det som tillsynsmyndigheterna bryr sig mest om.

Balans mellan innovation och suveränitet

Trots de risker som utmålas är det viktigt att påpeka att analytiker varnar för att helt frikoppla sig från amerikansk teknik, vilket skulle kunna hämma innovationen. Den allmänna uppfattningen är att man måste hitta en balans.

I en Forrester-analys från slutet av 2024 föreslogs att organisationer kan uppnå mål för digital suveränitet genom att använda utländska molnleverantörer vid sidan av inhemska alternativ. Företag kan blanda och matcha eller använda utländska leverantörer på deras villkor, med avtalsmässiga och tekniska kontroller.

De nämner exempel som att europeiska offentliga sektorer använder Microsoft Azure via ett lokalt drivet moln, som i Tyskland, som en pragmatisk kompromiss. Stora konsultföretag som Accenture och Capgemini har börjat erbjuda tjänster för att etablera ”betrodda molnmiljöer” för kunder – i huvudsak genom att lägga ytterligare kryptering, nyckelhantering och revisionskontroller ovanpå hyperscale-plattformar för att uppfylla EU:s efterlevnadskrav. Detta indikerar att det finns en lösning på marknaden: att täcka globala moln med omslag som uppfyller kraven.

Många branschbedömare anser att anden är ute ur flaskan vad gäller molnlösningar som sådana – företagen kommer inte att återgå till enbart lokala lösningar över hela linjen – men vägen framåt i Europa är ett mer balanserat molnekosystem som är inriktat på efterlevnad.

Multi-cloud och edge computing kan minska beroendet av ett enda utländskt datacenter. Rättigheter och standarder för dataportabilitet, som drivs av EU:s datalag, kommer att göra det lättare att byta leverantör vid behov.

Enligt analytiker är den troliga framtiden hybrida suveräna moln – en blandning där kritiska data och arbetsbelastningar körs på infrastruktur som uppfyller suveränitetskraven och mindre kritiska körs på globala moln, allt orkestrerat tillsammans. Detta tillvägagångssätt och de regulatoriska skyddsvallarna bör minska de största riskerna för inlåsning och överträdelser av efterlevnaden.

Ekonomiska prognoser och marknadsprognoser

Det är värt att notera det bredare marknadssammanhang som analytikerna ger. Amazon, Microsoft och Google dominerar fortfarande den europeiska molnmarknaden, med en uppskattad andel på 70 %.

Europeiska leverantörer växer, men från en liten bas. Om policyer som suveränitetskrav blir striktare kan detta förändra marknadsandelarna, med regionala aktörer som sannolikt kommer att få en konkurrensfördel. Analytiker från Synergy Research och IDC har noterat att vissa stora europeiska företag nu har förhandlingsstyrka nog att kräva specialvillkor från amerikanska leverantörer. Stora banker kan till exempel kräva att deras data aldrig lämnar Europa och att leverantörerna meddelar dem om eventuella förfrågningar om tillgång från myndigheter.

Om sådana krav blir standard måste de amerikanska leverantörerna erbjuda mer skräddarsydda ”suveräna” tjänster, vilket kan leda till högre kostnader. Gartners senaste prognos för IT-utgifter visar att de europeiska IT-utgifterna för molntjänster kommer att fortsätta att öka, med en beräknad tillväxt på 8,7% 2025. Fördelningen av dessa pengar håller dock på att förändras – mer mot privata eller suveräna lösningar, och kanske något mindre mot generiska offentliga molnlösningar.

Dessa insikter tyder på att europeiska organisationer aktivt hanterar molnrisker genom strategi och teknik, med analytikernas ramverk och förutsägelser som drivkraft.

Alla framåtblickande råd betonar vikten av att vara stark, flexibel och kompatibel. I en Forrester-rapport om molntrender från 2025 förutspås till exempel att europeiska företag kommer att stödja statliga molnprojekt, förbereda sig för strängare regler och undvika avbrott i tjänsterna.

Den viktigaste slutsatsen är att branschen håller på att anpassa sig för att stödja ett suveränitetsmedvetet paradigm med flera moln i Europa, där företag kan fortsätta innovationer med cloud computing utan att vara alltför exponerade för risker som är förknippade med utländska jurisdiktioner.

Rekommendationer och ”Best Practices”

Med tanke på det rådande läget bör europeiska företag (och multinationella företag med verksamhet i Europa) anta en flerfaldig strategi för att säkerställa efterlevnad och minska beroenderiskerna i samband med användandet av amerikanska molnleverantörer. Nedan följer några viktiga rekommendationer som kombinerar juridiska, tekniska och strategiska åtgärder.

Genomföra omfattande riskbedömningar

Börja med en grundlig genomgång av dina data  och gör en riskbedömning för molnanvändning. Identifiera de typer av data som du lagrar eller bearbetar i USA-baserade molntjänster (inklusive EU-regioner hos amerikanska leverantörer) och kategorisera dem efter känslighet (personuppgifter, kritiska affärsdata, mm.). För varje kategori ska du göra en konsekvensbedömning av överföringen och utvärdera den potentiella effekten av amerikanska lagar (som CLOUD Act eller FISA) på dessa uppgifter.

Bedöm om den nuvarande överföringsmekanismen (DPF, SCC osv.) är hållbar eller om det finns luckor. Denna process kommer att lyfta fram de mest riskfyllda uppgifterna och vägleda prioriteringarna för begränsning. Som en del av detta bör du hålla dig uppdaterad om den rättsliga utvecklingen – notera t.ex. att om DPF ogiltigförklaras kommer alla dataöverföringar enligt DPF omedelbart att behöva en annan rättslig grund. Att förbereda dokumentation (TIA, avtalsklausuler) i förväg kan spara värdefull tid om en rättslig kris inträffar.

Stärka avtalsmässiga och politiska skyddsåtgärder

Använd avtalsåtgärder till din fördel. Om ni använder amerikanska molnleverantörer, insistera på klausuler som kräver att data lagras och behandlas i Europa och som ger er rätt att bli underrättade om eventuella förfrågningar om tillgång till data från tredje land (i den utsträckning det är tillåtet). Implementera ”hängande” standardavtalsklausuler i avtal – vilket innebär att standardavtalsklausulerna är undertecknade i förväg och automatiskt kommer att styra överföringar om ramverket för adekvat skyddsnivå (DPF) skulle ogiltigförklaras.

Se till att era avtal ger er möjlighet att avbryta överföringar eller säga upp avtalet om lagarna ändras eller om leverantören inte längre kan uppfylla EU-kraven. Enligt DORA (för finansiella enheter) måste ni ha exitstrategier för kritiska IKT-leverantörer – börja utarbeta dessa planer nu och ange hur snabbt och genom vilken process ni kan byta leverantör eller ta hem tjänster internt om det behövs. För dataflöden inom koncernen (t.ex. mellan dotterbolag i EU och USA) bör man om möjligt överväga att anta bindande företagsregler (BCR), eftersom de är skräddarsydda för multinationella företag och innebär ett visst åtagande (även om de också bygger på antagandet om adekvat skydd).

Dessutom bör interna policyer uppdateras för att klassificera vilka data som kan lagras i vilka moln (en policy kan t.ex. ange att kunders personuppgifter från EU endast får lagras i EU-baserade datacenter och inte i någon region i USA). Dessa policyer skapar medvetenhet i organisationen och kan visas upp för tillsynsmyndigheter som bevis på att man följer reglerna.

Implementera tekniska skyddsåtgärder (kryptering, nyckelhantering)

Som ett kritiskt försvarslager bör man använda stark kryptering och åtkomstkontroll för all data som lagras i molnet, särskilt om man använder en amerikansk leverantör. End-to-end-kryptering eller ”zero knowledge”-kryptering säkerställer att molnleverantören inte har tillgång till dekrypteringsnycklarna. Så även om de tvingas lämna ut data förblir denna rappakalja. Kryptering på klientsidan kan t.ex. användas för molnlagring (verktyg som krypterar data innan de skickas till molnet) och för att hantera nycklarna i EU (eller hos en betrodd tredje part i EU).

En strategi är att använda en extern nyckelhanteringstjänst eller en säkerhetsmodul för hårdvara (HSM) som är baserad i Europa, separat från molnleverantören. Vissa leverantörer erbjuder nu alternativen ”Bring Your Own Key” eller ”Hold Your Own Key”. Deloitte understryker att om data överlämnas enligt CLOUD Act kommer GDPR-exponeringen att minska genom att kryptera dem så att endast ditt företag (i EU) har tillgång till nyckeln.

Dessutom bör tekniker som pseudonymisering (att ersätta personliga identifierare med koder) övervägas innan data skickas till molnet. Detta innebär att data inte innehåller personuppgifter om de inte kombineras med den information som du lagrar lokalt. I känsliga sektorer kan ny teknik som konfidentiell databehandling hålla data krypterade även under behandlingen. Vissa molnleverantörer erbjuder denna funktion, vilket kan bidra till att minska risken för att data exponeras. I grund och botten är målet att upprätthålla teknisk suveränitet genom att säkerställa att data i ett USA-kontrollerat moln är oanvändbart för alla utom dig och auktoriserade EU-baserade parter.

Anta en multi-moln/hybrid-molnarkitektur

Undvik att vara alltför beroende av en enda extern leverantör. Utforma din IT-arkitektur så att den är molnagnostisk och portabel, vilket möjliggör integration mellan olika molnplattformar. Detta kan innebära containerisering (t.ex. Kubernetes) eller virtualisering som kan distribueras över olika moln, vilket gör det enklare att flytta vid behov. Multi-cloud behöver inte nödvändigtvis innebära högre kostnader eller komplexitet om det hanteras på ett effektivt sätt – det finns många verktyg för multi-cloud-hantering.

Genom att distribuera arbetsbelastningar kan du lokalisera kritiska data till en betrodd plattform (EU) och använda andra moln för mindre känsliga uppgifter. Till exempel kan du behålla din primära kunddatabas på ett europeiskt eller privat moln medan du använder ett amerikanskt moln för att servera globalt webbinnehåll eller köra storskaliga beräkningsjobb på anonymiserade data. Säkerställ robusta strategier för säkerhetskopiering och replikering av data genom att ha säkerhetskopior av molndata på en alternativ plats, helst under EU:s kontroll.

Detta skyddar mot avbrott och gör att du snabbt kan migrera om juridiska frågor kräver en förändring. Använd hybridmolnet genom att integrera lokala system med molnet. Vissa företag tar tillbaka specifika arbetsbelastningar lokalt (repatriering) för att återfå kontrollen. Om du inte kan gå helt och hållet i molnet på grund av applikationsbegränsningar, förhandla om flexibilitetsbestämmelser med din leverantör och starta pilotprojekt med alternativa leverantörer för att bygga upp erfarenhet.

EU:s nya datalag kommer att göra det enklare att byta leverantör genom att förbjuda allvarliga påföljder för dataportering; dra nytta av detta genom att planera en exitstrategi för varje större molntjänst. Testa regelbundet din förmåga att exportera och importera data någon annanstans, t.ex. i katastrofåterställningsövningar eller en ”molnbytesövning”.

Bevaka den juridiska utvecklingen och engagera sig i opinionsbildning

Med tanke på den föränderliga situationen bör alla företag hålla sig noga informerade om relevant juridisk och politisk utveckling. Det är viktigt att utse en intern eller extern juridisk rådgivare för att följa detta (t.ex. genom att följa uppdateringar från Europeiska kommissionen, EDPB:s vägledning, rättsfall och amerikanska lagändringar, såsom en eventuell förnyelse eller ändring av FISA 702). Var beredd att anpassa efterlevnadsåtgärderna när EU-domstolen meddelar ett avgörande eller om USA antar en ny integritetslag.

Om DPF underkänns kan tillsynsmyndigheterna ge dig extra tid eller uttryckliga instruktioner för att hjälpa dig att anpassa dig. Håll ett öga på uppdateringar från Europeiska dataskyddsstyrelsen och din nationella dataskyddsmyndighet så att du kan reagera snabbt. Samtidigt efterlyser många europeiska företag, genom sina branschorganisationer, tillförlitliga regler för dataöverföring. Genom att delta i offentliga samråd eller lämna in egen feedback kan du hjälpa till att utforma praktiska lösningar.

Till exempel välkomnar CISPE:s uppförandekod för molntjänster eller andra samregleringsinitiativ ofta företagens synpunkter. Anta att USA och EU överväger ett verkställande CLOUD Act-avtal eller förbättrad gottgörelse. I så fall kan företag stödja påverkansarbete som driver på för starkare skydd, vilket så småningom lättar på regleringsbördan.

Fram till dess bör man ha juridisk dokumentation till hands – uppdaterade integritetsmeddelanden, informerat samtycke i tillämpliga fall (även om det är svårt att använda samtycke för storskaliga överföringar kan det vara tillämpligt i vissa nischfall) och tydliga register över vart uppgifterna tar vägen. Att vara transparent med affärspartners och kunder när det gäller din molnsuveränitet kan också skapa förtroende. Till exempel skriver vissa företag nu i sin integritetskommunikation att ”vi lagrar EU-personuppgifter i Europa hos XYZ-leverantören och har åtgärder mot utländsk åtkomst”. Den här typen av öppenhet kommer att förväntas av europeiska kunder framöver.

Utnyttja europeiska initiativ och betrodda tjänster

Överväg att använda eller byta till EU-baserade molnleverantörer eller ”sovereign cloud”-erbjudanden för åtminstone en del av era molnbehov, särskilt för starkt reglerade data. Den europeiska molnmarknaden har mognat – leverantörer som OVHcloud, Hetzner, Scaleway, UpCloud och City Network erbjuder konkurrenskraftiga tjänster och garanterar ofta uttryckligen att all data stannar i Europa, i enlighet med EU-lagstiftningen.

Många är också medlemmar i GAIA-X, vilket innebär att de följer standarder för interoperabilitet och transparens. Om det krävs absolut datasuveränitet (t.ex. försvars- eller myndighetsdata) bör du överväga specialiserade lösningar som lokala molnlösningar från framstående leverantörer (vissa leverantörer kan leverera en nedskalad molnstack som körs i ditt datacenter under din fullständiga kontroll) eller gemensamma moln som drivs av konsortier av europeiska företag.

Dra dessutom nytta av EU:s ramverk för styrning: Genom att delta i GAIA-X kan du framtidssäkra din arkitektur genom att säkerställa enkel portabilitet inom ett nätverk av leverantörer. När EU:s molnsäkerhetscertifiering (EUCS) är på plats kommer du att kunna välja certifierade molntjänster med ”hög säkerhet”. Överväg att kräva att kritiska system ska göras tillgängliga så snart de blir tillgängliga vid upphandling.

Dessutom kan sektorsspecifika grupper (som European Banking Cloud Forum, om det finns ett sådant, eller datahubbar för hälso- och sjukvård) dela med sig av suveräna molnresurser eller bästa praxis. Vissa företag utforskar också decentraliserade molnlösningar (t.ex. Cubbit, som nämns i vissa rapporter, erbjuder decentraliserad lagring som delar upp data mellan noder, vilket ger motståndskraft och suveränitet genom design). Även om sådana tekniker fortfarande är i sin linda visar de på innovativa metoder för att säkerställa att ingen enskild utländsk enhet innehar alla dina data.

Säkerställa efterlevnad av EU:s regelverk (GDPR, NIS2, DORA)

Anpassa din molnriskstrategi till bredare efterlevnadskrav. Enligt GDPR ska robusta register över behandling upprätthållas, inklusive platsen där data lagras och överförs. Var redo att visa för en dataskyddsmyndighet att du har utvärderat riskerna med att använda en amerikansk leverantör och implementerat skyddsåtgärder (dessa är kopplade till TIA).

För NIS2, som gäller för många medelstora/stora företag och leverantörer, bör nise till att cybersäkerhetsåtgärder omfattar molnmiljöer. Genomför revisioner av era molnkonfigurationer för att verifiera att dessa uppfyller NIS2:s säkerhetskrav. Ha en incidenthanteringsplan för dessa konton som hanterar molnspecifika intrång och var medveten om tidsfristerna för incidentanmälan.

För finansiella enheter som omfattas av DORA bör ni samarbeta med era kritiska molntjänstleverantörer för att säkerställa att de följer den kommande tillsynskrav. DORA kommer att ge tillsynsmyndigheter befogenhet att granska kritiska IKT-leverantörer, sannolikt inklusive stora molnleverantörer som tillhandahåller tjänster till finansiella organisationer.

Diversifiering av leverantörer uppmuntras implicit av DORA för att undvika ”single points of failure”; tillsynsmyndigheter kommer att förvänta sig att se att du kan byta eller ha säkerhetskopior om en leverantör misslyckas. Genom att följa dessa EU-regler till punkt och pricka minskar du i sig vissa amerikanska molnrisker – till exempel innebär NIS2:s fokus på säkerhet i leveranskedjan att du kommer att granska molnleverantörens underleverantörer och policyer, och eventuellt välja dem som har en starkare datalokalisering.

Planera för värsta tänkbara fall (kontinuitetsplanering)

Utveckla en beredskapsplan för ett scenario där transatlantiska dataöverföringar blir ohållbara (t.ex. om DPF ogiltigförklaras och SCC ifrågasätts eller tvingande avstängning). Planen ska beskriva hur verksamheten ska kunna fortsätta. Identifiera vilka processer som skulle påverkas (om du t.ex. använder ett USA-baserat CRM-system för alla dina kunddata, hur snabbt kan du då växla över till en EU-baserad instans eller en lokal lösning?)

Du kan överväga att ha ett backupsystem i Europa som kan ta över omedelbart. Ett annat orosmoment är att den amerikanska administrationen kan vidta motåtgärder eller ändra reglerna utan förvarning. Om de transatlantiska dataflödena stannar upp kan även de amerikanska tjänster som du förlitar dig på drabbas, så se till att du har beredskapsplaner på plats.

Se till att nyckelpersoner, bland annat inom juridik, IT och drift, känner till denna plan. I grund och botten bör detta scenario behandlas som en katastrofåterställningssituation, eftersom förlorad förmåga att överföra data är likvärdigt med ett systemavbrott för datadrivna företag. Vissa företag kan till och med simulera ”Schrems III-fallout” som en intern övning för att testa beredskapen.

Engagera molnleverantörer i frågan

Glöm inte bort att du som kund har inflytande. Kommunicera dina krav och farhågor till dina molnleverantörer. Ju fler kunder som efterfrågar suveränitetsfunktioner, desto fler leverantörer kommer att utveckla dem. Om du är en viktig kund kan du be din amerikanska molnleverantör om garantier eller lösningar – skulle kan till exempel vara beredda att avtala om att bestrida en myndighets begäran om dina data och, om det är juridiskt möjligt, omdirigera dessa till dig? Vissa leverantörer kan vara villiga att specificera i avtalet att de kommer att använda CLOUD Act-bestämmelserna för att kämpa för din räkning (om kriterierna är uppfyllda).

Även om de inte kan garantera resultatet ger det ett extra lager av engagemang. Fråga också om deras planer för EU-suveränitetserbjudanden (många har tillkännagivit planer, men kontrollera tidslinjer och omfattning). Delta i användargrupper eller rådgivande kommittéer som dessa stora leverantörer har för europeiska kunder; dessa forum är en möjlighet att hålla trycket uppe för funktioner som respekterar privatlivet. Följ samtidigt initiativen från molnleverantörernas allianser (t.ex. CISPE) – stöd deras uppförandekoder, som ofta omfattar efterlevnad av EU-lagar och transparensskyldigheter.

Holistisk strategi

Den bästa metoden är en holistisk strategi som kombinerar rättsligt skydd (avtal och efterlevnad), tekniska åtgärder (kryptering och molnkonfiguration) och kloka val (användning av EU-leverantörer och bibehållen flexibilitet). Detta är ”digital suveränitet genom design” – att bygga in kontroll i varje steg av din molnresa. På så sätt har du full kontroll över dina data, oavsett vilken leverantör eller plats du använder. På så sätt kan europeiska företag fortsätta att använda molntjänster och samtidigt minska de juridiska och praktiska risker som är förknippade med amerikanska leverantörer.

Att uppfylla kraven är inte en engångsuppgift utan en kontinuerlig övning. Inrätta ett team eller en arbetsgrupp som granskar er molnanvändning mot bakgrund av förändrade lagar och justera ert tillvägagångssätt när ny vägledning utfärdas (till exempel om Europeiska dataskyddsstyrelsen ger uppdaterade råd efter GDPR). Med regelbunden tillsyn kan du vända molnsuveränitet till en fördel och visa kunder och tillsynsmyndigheter att data förblir säkra, lagliga och under din kontroll, vad som än händer.

Sammanfattning

Transatlantiska dataöverföringar och molntjänster blir alltmer komplexa. Med EU-US Data Privacy Framework under granskning och amerikanska övervakningslagar som i stort sett förblir oförändrade är den rättsliga grunden för att använda amerikanska molntjänster instabil. Politiska händelser, som till exempel avskedandet av medlemmar i PCLOB, har ytterligare undergrävt förtroendet för USA:s åtaganden när det gäller integritetsskydd.

Europeiska företag – särskilt de som verkar inom känsliga eller starkt reglerade sektorer – måste proaktivt säkerställa efterlevnad av lagar och regler, upprätthålla driftskontinuitet och bevara kundernas förtroende. Framväxten av europeiska molnleverantörer och lagstadgat stöd för dataportabilitet och suveränitet erbjuder en framkomlig väg.

Företag kan minska riskerna utan att kompromissa med innovation genom att anta hybrid- eller multi-cloud-strategier, implementera robusta tekniska skyddsåtgärder som kryptering och anpassa sig till nya europeiska standarder. Det strategiska skiftet mot digital autonomi i Europa är en juridisk nödvändighet och en konkurrensmöjlighet för företag som anammar det tidigt.

Läs mer om hur vi kan hjälpa dig med din molnstrategi, molnmigrering, mjukvaruutveckling, molnlösningar, systemintegration eller något annat ämne. Tveka inte att kontakta oss.

Bakgrund till varför transatlantisk dataöverföring är problematisk

Nedan följer en sammanfattande tabell som belyser olika händelser och avtal och de därmed sammanhängande juridiska risker för europeiska företag som förlitar sig på amerikanska molnleverantörer:

Källor

1. AWS European Sovereign Cloud, Announcing the AWS European Sovereign Cloud. Verifierad 27 Apr 2025.
2. Azure, Dataethics Largest Danish Municipality Choses French Cloud Provider over Microsoft. 23 Apr 2025. Verifierad 27 Apr 2025.
3. Betley, Bernardo et al. 2 Apr 2024, McKinsey, The state of Cloud Computing in Europe Increasing adoption low returns huge potential. Verifierad 27 Apr 2025.
4. Bolans et al., Simon. Stephenson Harwood – The EU Data Act: Switching, interoperability and prevention of unauthorised access to non-personal data. Verifierad 27 Apr 2025.
5. Brnakova, Jana, 25 Aug 2023, Revolgy – The top 10 public cloud providers 2023. Verifierad 27 Apr 2025.
6. Bränström, Sara L, ”Om det faller sker det direkt – pang boom”. Verifierat 5 Maj 2025.
7. Burgess, Matt. Wired (2025) – Trump’s Aggression Sours Europe on US Cloud Giants. Verifierad 27 Apr 2025.
8. Court of Justice of the European Union, 6 Okt 2015, Press Release Safe Harbour invalid. Verifierad 27 Apr 2025.
9. CapGemini, Cloud Transformation in the Financial Sector.  Verifierad 27 Apr 2025.
10. CIO Dive, Cloud Switching Europe. Verifierad 27 Apr 2025.
11. CISPE, 1 Aug 2024, Cloud Switching Framework. Verifierad 27 Apr 2025.
12. Chan, Kelvin & The Associated Press. Fortune, Microsoft says it will ‘vigorously’ contest any government orders to halt cloud operations in Europe: ‘If we ever find ourselves losing, we will put in place business continuity arrangements’. Verifierad 27 Apr 2025.
13. Cleura 27 Mar 2024, How vendor Lock-In Bleeds Public Resources, Sparking Danish Investigation into Promoting Open Source Alternatives. Verifierad 27 Apr 2025.
14. Cubbit – Decentralised Cloud Storage in Europe. Verifierad 27 Apr 2025.
15. Court of Justice of the European Union, Schrems II Ruling. Verifierad 27 Apr 2025.
16. Dillet, Romain, Tech Crunch. 12 Okt 2020. France’s Health Data Hub to move to European cloud infrastructure to avoid EU-US data transfers. Verifierad 27 Apr 2025.
17. Dan Milmo & Lisa O’Carroll, 22 Maj 2023 The Guardian. Facebook fined for mishandling user information in Ireland . Verifierad 27 Apr 2025.
18. Damon Garn, Tech Target. 17 Jul 2024. The pros and cons of sovereign clouds. Verifierad 27 Apr 2025.
19. Deloitte, 2025 Tech Trends. Verifierad 27 Apr 2025.
20. Deslorieux, Romain. 11 Jan 2025. Thales Navigating the EU-US Data Protection Framework. Verifierad 27 Apr 2025.
21. DORA, DORA. Verifierad 27 Apr 2025.
22. Dutch National Cyber Security Centre, 16 Aug 2022., How the CLOUD-Act works in data storage in Europe. Verifierad 27 Apr 2025.
23. European Commission, 10 Jul 2023. EC Adequacy decision for the EU‑US Data Privacy Framework. Verifierad 27 Apr 2025.
24. European Commission. New Standard Contractual Clauses Q&A overview.. Verifierad 27 Apr 2025.
25. European Commission. NIS2 Directive. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive. Verifierad 27 Apr 2025.
26. European Commission. 2 Feb 2016. EU‑US Privacy Shield press release. Verifierad 27 Apr 2025.
27. European Commission. The EU Data Act. Verifierad 27 Apr 2025.
28. European Commission. EU‑U.S. Data Privacy Framework. Verifierad 27 Apr 2025.
29. European Commission. Questions & Answers: EU-US Data Privacy Framework. Verifierad 27 Apr 2025.
30. European Commission. General Data Protection Regulation (GDPR). Verifierad 27 Apr 2025.
31. European Commission. EU Directive 95/46/EC (GDPR). Verifierad 27 Apr 2025.
32. European Commission. Digital Operational Resilience Act (DORA). Verifierad 27 Apr 2025.
33. European Data Protection Board, Guidance on Data Transfers. Verifierad 27 Apr 2025.
34. European Parliament, Resolution on the adequacy of the EU‑U.S. DPF. Verifierad 27 Apr 2025.
35. Forrester, Predictions. Verifierad 27 Apr 2025.
36. Gartner, Data Ecosystem. https://www.gartner.com/en/data-analytics/topics/data-ecosystem. Verifierad 27 Apr 2025.
37. Gartner, I-connect007, 7 Nov 2024. Gartner Forecasts IT spending in Europe to grow 8.7% in 2025. Verifierad 27 Apr 2025.
38. Hava. 2024 Cloud Market Share Analysis: Decoding Industry Leaders and Trends, https://www.hava.io/blog/2024-cloud-market-share-analysis-decoding-industry-leaders-and-trends. Verifierad 27 Apr 2025.
39. Heath, Carl, 25 Mar 2025, Digital resiliens för ökad suveränitet. Verifierat 5 Maj 2025.
40. Hengesbaugh, Brian & Feiler, Lukas, 26 Feb 2025, IApp, How could Trump administration actions affect the EU-US Data Privacy Framework?. Verifierad 27 Apr 2025.
41. Hildén, Jockum, Policy Review. 30 Sep 2021. Mitigating the risk of US surveillance for public sector services in the cloud. Verifierad 27 Apr 2025.
42. Irish Data Protection Commission, Data Protection Commission fines Meta. Verifierad 27 Apr 2025.
43. GAIA-X,. GAIA‑X Initiative. Verifierad 27 Apr 2025.
44. Karlsson, Jesper, Omni Ekonomi, Microsoft lovar skydda Europa från Trump-effekter. Verifierad 5 Maj 2025.
45. Koetzle, Laura, Forester, 22 Okt 2024. Predictions 2025: Europe Will Weather Satellite Interference, Enforce Its AI Regulations, And Invest In Sovereign Cloud. Verifierad 27 Apr 2025.
46. Kummel, Frank, E55, Expert: Sverige beroende av amerikansk IT: ”Skyddet avvecklat”. Verifierat 5 Maj 2025.
47. Kuzmenko, O, Dev.ua. 25 Mar 2025. “The US may not be on the same team with us anymore.” Europe considers ditching American cloud services, including those of Google, Microsoft, and Amazon, amid the Trump administration’s actions. Verifierad 27 Apr 2025.
48. Microsoft, EU Data Boundary. Verifierad 27 Apr 2025.
49. Maisto, Dario et al., 15 Apr 2025. Google Cloud Next 2025: Agentic AI Stack, Multimodality, And Sovereignty. Verifierad 27 Apr 2025.
50. Maisto, Dario. Forrester – Investment Monitor – Cloud Migration in Europe. Verifierad 27 Apr 2025.
51. Matthew, Alex. ISACA – Cloud Data Sovereignty Governance and Risk Implications of Cross-Border Cloud Storage. Verifierad 27 Apr 2025.
52. Philpot, James, Digitals Me. 5 Sep 2024. Changes to the EU Cloud Services Cybersecurity Certification Scheme put EU citizens’ data at risk: A Call for Digital Sovereignty. Verifierad 27 Apr 2025.
53. Mellor, Chris. 17 Mar 2025. Blocks and File Data sovereignty in focus as Europe scrutinises US cloud influence. Verifierad 27 Apr 2025.
54. Mildebrath, Hendrik. The CJEU judgment in Schrems II, EPRS (Sep 2020). Verifierad 27 Apr 2025.
55. News, In Cyber. After Scaleway, Hosteur also leaves Gaia-X. Verifierad 27 Apr 2025.
56. Nojeim, Greg. 31 Jan 2025. Silvia Lorenzo Perez Lawfare, Trump’s Sacking of PCLOB Members Threatens Data Privacy Verifierad 27 Apr 2025.
57. NOYB, Legal Action Against EU‑U.S. Data Privacy Framework. Verifierad 27 Apr 2025.
58. OneTrust. Transfer Impact Assessment (TIA) checklist. Verifierad 27 Apr 2025.
59. Oracle, EU Sovereign Cloud Regions. Verifierad 27 Apr 2025.
60. Perez, Silvia Lorenzo, Centre for Democracy & Technology. 20 Feb 2025. What the PCLOB Firings Mean for the EU-US Data Privacy Framework. Verifierad 27 Apr 2025.
61. Perozo, Eugenia,  Investment Monitor. 31 Mar 2025. Big Tech’s future in Europe at risk from Trump, tariffs and data concerns. Verifierad 27 Apr 2025.
62. Pollet, Mathieu, Politico. 30 Apr, 2025,  EU views break from US as ‘unrealistic’ amid global tech race. Verifierad 5 Maj 2025.
63. Raziye Akkoc and AFP. Fortune, (Apr 16, 2025) European Union gets serious as bloc seeks independence from U.S. tech such as Uber, Apple and Mastercard. Verifierad 27 Apr 2025.
64. Salgado, Richard, Lawfare. 10 Mar 2025. First Insights Into the U.S.-U.K. CLOUD Act Agreement. Verifierad 27 Apr 2025.
65. Stanton Ben, et al., Ben. Deloitte – Keeping it local: Cloud sovereignty a major focus of the future. Verifierad 27 Apr 2025.
66. T-Systems. T-Systems Sovereign Cloud powered by Google Cloud. Verifierad 27 Apr 2025.
67. Thales (2024), Cloud Security Report 2024. Verifierad 27 Apr 2025.
68. Sustar, Lee & Woo, Tracy., Forrester, 24 Jan 2025. Cloud Predictions 2025. Verifierad 27 Apr 2025.
69. US Congress. Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Verifierad 27 Apr 2025.
70. von Baum Florian & Gärtner Rufus, 20 Mar 2025, Pinsent Masons, Switching and porting rules under the EU Data Act. Verifierad 27 Apr 2025.
71. Wouter Seinen,23 Aug 2022, Pinsent Masons – Dutch memo addresses US CLOUD Act reach in Europe. Apr 2025.
72. Wilhelm, Ernst‑Oliver. A brief history of Safe Harbor (2000–2016), IAPP. Verifierad 27 Apr 2025.