United States
Norge
Sverige
Suomi
UK
Danmark
När EU-domstolen 2020 ogiltigförklarade Privacy Shield i det så kallade Schrems II-målet förändrades spelplanen för europeiska företag som använder amerikanska molntjänster. Den rättsliga grunden för dataöverföringar försvann. I dess ställe infördes EU–US Data Privacy Framework, som trädde i kraft 2023, för att möjliggöra fortsatt överföring av personuppgifter till USA.
Men frågan är långt ifrån avgjord.
Under 2025 har ramverket prövats i domstol, och fler rättsprocesser väntas. Kritiken är densamma som tidigare: ger amerikansk lag verkligen ett skydd som är likvärdigt med GDPR? Och vad händer om även detta ramverk faller?
Ett systemval är också ett strategiskt val
När företag upphandlar affärssystem i dag vägs funktionalitet, pris och implementationstid mot varandra. Men allt oftare behöver ytterligare en dimension finnas med i kalkylen: jurisdiktion.
Var lagras datan?
Vilken lagstiftning kan göra anspråk på den?
Hur snabbt kan leverantören ställa om, om regelverket ändras?
Om Data Privacy Framework skulle ogiltigförklaras, ett scenario bedömare inte utesluter, kan många svenska företag påverkas. Verksamheter med datalagring eller behandling i USA behöver då snabbt se över både teknik och avtal.
– Vi märker att allt fler bolag vill veta exakt var deras data lagras och vilket regelverk som gäller. De stora molnplattformarna är byggda för en global marknad, men deras styrning och ansvar ligger i ett enskilt land. För flera företag har den motsättningen nu blivit mer påtaglig, säger Thomas Falk, CEO Xledger AB.
– Vår infrastruktur är sedan länge byggd med datalagring i Norge. Det ger en tryggare utgångspunkt när regelverket förändras eftersom våra kunders data inte kopplas till amerikansk datalagstiftning.
Från compliance till kontinuitet
Dataskydd har tidigare varit en juridisk fråga. I dag är det en fråga om verksamhetens stabilitet.
För ekonomifunktionen innebär det att centrala processer som rapportering, leverantörsreskontra och konsolidering måste fungera även om förutsättningarna förändras. Ett affärssystem ska inte behöva bytas eller byggas om till följd av en domstolsprocess som man själv inte kan påverka.
Det är därför allt fler ställer tydligare krav i upphandlingar: datalagring inom EU, transparens kring underleverantörer och genomtänkta exit-möjligheter.
Ett rättsläge i rörelse
Schrems III är inte ett formellt mål, utan namnet på den prövning som många ser som nästa kapitel i den utdragna EU–USA-tvisten. Samtidigt står en sak klar: de juridiska villkoren för att hantera europeiska uppgifter i USA kommer även 2026 vara föremål för en politisk och rättslig dragkamp.
Frågan är inte om molnet ska användas. Frågan är på vilka villkor.
När affärssystem upphandlas i dag handlar det inte bara om effektivitet, utan också om hur väl lösningen står sig när omvärlden förändras.
Det är en dimension som sällan väger tyngst i upphandlingen, men som kan få helt annan tyngd om ännu ett transatlantiskt ramverk ogiltigförklaras.
Vad är Schrems och varför påverkar det företag?
Schrems är namnet på en serie rättsprocesser som rör överföring av personuppgifter mellan EU och USA. De är uppkallade efter den österrikiske juristen och integritetsaktivisten Max Schrems.
År 2015 ogiltigförklarade EU-domstolen det dåvarande ramverket Safe Harbor (Schrems I).
År 2020 underkändes dess efterföljare Privacy Shield (Schrems II), med hänvisning till att amerikansk lag inte gav ett skydd som ansågs likvärdigt med EU:s dataskyddsregler enligt GDPR.
Efter Schrems II tvingades många företag att snabbt se över sina avtal och dataflöden.
År 2023 trädde EU–US Data Privacy Framework i kraft. Det är det senaste försöket att skapa en stabil rättslig grund för överföringar av personuppgifter till USA. Det är detta ramverk som nu ifrågasätts och kan komma att prövas igen, det som ofta benämns Schrems III.
[Källa: Schrems II and the Data Protection Enforcement Gap, EU Law Enforcement – https://eulawenforcement.com/?p=8062]