Webperf
Efter åratal av vaga försäkringar och diplomatiska undanflykter har Microsoft nu, under ed inför den franska senaten, erkänt vad många av oss redan visste.
Det är värt redan nu att framhålla att Microsoft inte är unika på annat sätt än att de råkar vara först ut av de USA-baserade IT-företagen att till sist medge hur verkligheten ser ut. Det hedrar dem! Hur som helst, Microsofts juridiska chef för Frankrike, Anton Carniaux, medgav den 10 juni 2025 att han inte kan garantera att data om franska medborgare som lagras helt inom EU:s Microsoft-datacenter är säkra från USA:s ”tysta” åtkomst. Kanske mer anmärkningsvärt: franska, eller andra EU-myndigheter, kanske inte ens meddelas om sådan åtkomst sker.
Detta är inte egentligen någon överraskning om man följt utvecklingen kring digital suveränitet och extraterritoriell lagstiftning. Det är snarare en officiell bekräftelse av vad vi länge förstått men som företagen helst velat undvika att säga rakt ut.
Och det här har egentligen inte med Donald Trumps andra period som president att göra, för det hade inte varit bra nog med ännu en president från Demokraterna. Men Trumps auktoritära ledarskap gör inget bättre när han undergräver uppgörelsen Data Privacy Framework (DPF). Visserligen var DPF en otillräcklig kompromiss även om Kamal Harris vunnit presidentvalet 2024, för det handlar inte så mycket om ledarskapet i USA, egentligen.
→ Ha din Plan B att flytta från amerikanska molntjänster - hälsar dataskyddsmyndigheter i Europa (Webperf, 2025)
Den extraterritoriella verkligheten vi alltid känt till
USA:s lagstiftning på det här området är extraterritoriell. Det spelar ingen roll var på jordklotet data lagras om företaget som hanterar den lyder under amerikansk jurisdiktion. Lagar som FISA Section 702 och CLOUD Act ger amerikanska myndigheter rätt att kräva ut data från amerikanska företag, oavsett var informationen faktiskt befinner sig geografiskt.
Vi i EU har tvingats lära oss detta genom Edward Snowdens avslöjanden om PRISM, genom upprepade fall vid EU-domstolen, och genom den ständiga cykeln av "trygga" överenskommelser som raserats: Safe Harbor, Privacy Shield, och nu det vacklande Data Privacy Framework.
→ DPF: eSam ger inte grönt ljus för amerikanska molntjänster (nu heller) (Webperf, 2023)
Den grundläggande konflikten har aldrig förändrats. USA ser sig ha rätt till "Lawful Overseas Use of Data" medan EU insisterar på att våra medborgares personuppgifter ska skyddas enligt våra värderingar och vår lagstiftning. Dessa positioner är i grunden oförenliga. EU:s ensidiga (läs: naiva, medberoende eller kanske förhoppningsfulla) kompromissvilja gör att vi nu är inne på vår tredje kompromiss med DPF. Tyvärr verkar det inte fungera det här som EU-kommissionen gör när de gång på gång påtalar att USA har ett ”adekvat dataskydd”. Bevis? Franska Microsoft håller inte med EU-kommissionen när de under ed frågas ut av franska senaten! Tack Frankrike som tvingade ur en av teknikjättarna vad vi behövde höra direkt från en av de stora leverantörerna!
Vad digital suveränitet verkligen innebär
Digital suveränitet handlar inte om protektionism eller teknikfientlighet. Det handlar om att vi i Europa ska kunna bestämma över våra egna data enligt våra egna lagar och värderingar. När amerikanska företag kan tvingas att lämna ut data till sina myndigheter utan att ens få berätta för oss om det, då har vi ingen verklig kontroll. Det innebär att vi kan använda dessa företags tjänster till saker som ändå är tänkt att publiceras öppet. Exempelvis på våra webbplatser, men förstås inte om det handlar om känsliga uppgifter som hör hemma inom EU eller ett enskilt EU-land!
Microsofts erkännande under ed gör det hela kristallklart: så länge vi förlitar oss på amerikanska molntjänster lever vi med en inbyggd sårbarhet. Det spelar ingen roll hur många europeiska datacenter Microsoft, Google, Amazon, eller de andra, bygger, eller hur många gånger de försäkrar om "EU Data Boundary". Det amerikanska moderföretaget kan fortfarande tvingas ge åtkomst till våra data för sina amerikanska myndigheter. Och inte bara kan, bl.a. Microsoft har redan mot sin vilja tvingats dela information som lagrats i EU till amerikanska myndigheter. Det hedrar Microsoft att de försökte kämpa emot. Men för oss i EU handlar det trots allt om att hålla oss inom EU:s jurisdiktion, även om utomstånde nu försöker följa våra regler.
Din ”plan B” behöver aktiveras nu
Med Trumps återkomst till Vita huset har förutsättningarna förändrats dramatiskt. Den amerikanska presidenten har redan börjat demontera US Privacy and Civil Liberties Board (PCLOB), den instans som skulle övervaka att EU-medborgares rättigheter respekteras enligt Data Privacy Framework (DPF). Med endast en ledamot kvar är PCLOB inte längre beslutför eller oberoende.
Som våra nordiska dataskyddsmyndigheter konstaterat: det har aldrig varit viktigare att ha en verklig plan b för att frigöra sig från amerikanska molntjänster. Men denna plan kräver mer än en teknisk migration, den kräver ett fundamentalt omtänk kring vad vi accepterar som europeiska organisationer.
Den första frågan du behöver ställa dig är rätt enkel. Vilka av dina data skulle du vara bekväm med att amerikanerna hade tillgång till utan att du visste om det? Om svaret är inga
, då vet du vad som behöver göras. Om du är rädd för att straffas av EU-baserade myndigheter om samma data hamnade i USA är svaret detsamma.
Vi kan tillsammans bygga en digital infrastruktur som respekterar våra värderingar i EU. Det finns europeiska alternativ för de flesta tjänster vi använder. Vad som krävs är egentligen en vilja att prioritera långsiktig suveränitet framför kortsiktig bekvämlighet eller lägre kostnader.
Microsofts erkännande under ed borde vara den väckarklocka som slutligen får oss att agera. Frågan är inte om amerikanska myndigheter kan komma åt våra data, frågan är när det kommer att hända nästa gång. Eller när det händer just de data du handskas med!
